Routenbasierte und richtlinienbasierte VPNs mit NAT-T
Network Address Translation-Traversal (NAT-T) ist eine Methode zur Verwaltung von PROBLEMEN im Zusammenhang mit der IP-Adressenübersetzung, die auftreten, wenn die durch IPsec geschützten Daten ein Gerät passieren, das mit NAT für die Adressübersetzung konfiguriert wurde.
Nat-T verstehen
Network Address Translation-Traversal (NAT-T) ist eine Methode, um Probleme mit der IP-Adressübersetzung zu umgehen, die auftreten, wenn durch IPsec geschützte Daten ein NAT-Gerät zur Adressübersetzung passieren. Jede Änderung der IP-Adressierung, die die Funktion von NAT ist, führt dazu, dass IKE Pakete verwirft. Nach der Erkennung eines oder mehrerer NAT-Geräte entlang des Datenpfads während des Phase-1-Austauschs fügt NAT-T eine Ebene der UDP-Kapselung (User Datagram Protocol) zu IPsec-Paketen hinzu, sodass sie nach der Adressübersetzung nicht verworfen werden. NAT-T verkapselt sowohl IKE- als auch ESP-Datenverkehr innerhalb von UDP, wobei Port 4500 sowohl als Quell- als auch als Ziel-Port verwendet wird. Da NAT-Geräte veraltete UDP-Übersetzungen veraltet sind, sind Keepalive-Nachrichten zwischen den Peers erforderlich.
NAT-T ist standardmäßig aktiviert, daher müssen Sie die no-nat-traversal Anweisung auf Hierarchieebene [edit security ike gateway gateway-name zum Deaktivieren von NAT-T verwenden.
Es gibt zwei große Kategorien von NAT:
Statische NAT, bei der eine Eins-zu-Eins-Beziehung zwischen den privaten und öffentlichen Adressen besteht. Statische NAT funktioniert sowohl in eingehende als auch in ausgehende Richtungen.
Dynamische NAT, bei der es eine Many-to-One- oder Many-to-Many-Beziehung zwischen privaten und öffentlichen Adressen gibt. Dynamische NAT funktioniert nur in ausgehender Richtung.
Der Standort eines NAT-Geräts kann so sein, dass:
Nur der IKEv1- oder IKEv2-Initiator befindet sich hinter einem NAT-Gerät. Mehrere Initiatoren können hinter separaten NAT-Geräten stecken. Initiatoren können sich auch über mehrere NAT-Geräte mit dem Responder verbinden.
Nur der IKEv1- oder IKEv2-Responder befindet sich hinter einem NAT-Gerät.
Sowohl der IKEv1- oder IKEv2-Initiator als auch der Responder befinden sich hinter einem NAT-Gerät.
Dynamisches Endpunkt-VPN deckt die Situation ab, in der die externe IKE-Adresse des Initiators nicht festgelegt ist und daher dem Responder nicht bekannt ist. Dies kann auftreten, wenn die Adresse des Initiators dynamisch von einem ISP zugewiesen wird oder wenn die Verbindung des Initiators ein dynamisches NAT-Gerät passiert, das Adressen aus einem dynamischen Adressenpool zuweist.
Konfigurationsbeispiele für NAT-T sind für die Topologie, in der sich nur der Responder hinter einem NAT-Gerät befindet, und die Topologie, in der sich sowohl der Initiator als auch der Responder hinter einem NAT-Gerät befinden. Die Site-to-Site-IKE-Gateway-Konfiguration für NAT-T wird sowohl vom Initiator als auch vom Responder unterstützt. Eine Remote-IKE-ID wird verwendet, um die lokale IKE-ID eines Peers in Phase 1 der IKE-Tunnelaushandlung zu validieren. Sowohl der Initiator als auch der Responder erfordern eine local-identity und eine remote-identity Einstellung.
Auf SRX5400-, SRX5600- und SRX5800-Geräten sind die IPsec-NAT-T-Tunnelskalierung und die Aufrechterhaltung von Problemen wie folgt:
Für eine bestimmte private IP-Adresse sollte das NAT-Gerät sowohl 500 als auch 4500 private Ports in dieselbe öffentliche IP-Adresse übersetzen.
Die Gesamtzahl der Tunnel einer bestimmten öffentlich übersetzten IP darf 1000 Tunnel nicht überschreiten.
Ab Junos OS Version 19.2R1 wird PowerMode IPSec (PMI) für NAT-T nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt, die mit SRX5K-SPC3 Services Processing Card (SPC) oder mit der virtuellen Firewall vSRX ausgestattet sind.
Siehe auch
Beispiel: Konfigurieren eines routenbasierten VPN mit dem Responder behind ein NAT-Gerät
Dieses Beispiel zeigt, wie Sie ein routenbasiertes VPN mit einem Responder hinter einem NAT-Gerät zwischen einer Zweigstelle und der Geschäftsstelle konfigurieren.
Anforderungen
Bevor Sie beginnen, lesen Sie IPsec – Übersicht.
Überblick
In diesem Beispiel konfigurieren Sie ein routenbasiertes VPN. Host1 nutzt das VPN, um eine Verbindung zum Hauptsitz des Unternehmens auf SRX2 herzustellen.
Abbildung 1 zeigt ein Beispiel für eine Topologie für routenbasiertes VPN mit nur dem Responder hinter einem NAT-Gerät.
In diesem Beispiel konfigurieren Sie Schnittstellen, IPsec und Sicherheitsrichtlinien sowohl für einen Initiator in SRX1 als auch für einen Responder in SRX2. Dann konfigurieren Sie die Parameter für IKE Phase 1 und IPsec Phase 2.
SRX1 sendet Pakete mit der Zieladresse 172.1 6. 21.1 zur Einrichtung des VPN. Das NAT-Gerät übersetzt die Zieladresse in 10.1.31.1.
Sehen Sie Tabelle 1 sich die spezifischen Konfigurationsparameter an Tabelle 3 , die für den Initiator in den Beispielen verwendet werden.
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
ge-0/0/1 |
172.16.11.1/24 |
|
ge-0/0/0 |
10.1.11.1/24 |
|
|
st0. 0 (Tunnelschnittstelle) |
10.1.100.1/24 |
|
|
Statische Routen |
10.1. 21,0/24 |
Der nächste Hop ist st0. 0. |
|
172.16.21.1/32 |
Der nächste Hop ist 172. 16. 11.2. |
|
|
Sicherheitszonen |
nicht vertrauenswürdig |
|
|
Vertrauen |
|
|
|
Sicherheitsrichtlinien |
to-SRX2 |
Datenverkehr von 10.1.1 11 zulassen. 0/24 in der Vertrauenszone bis 10.1. 21. 0/24 in der Zone nicht vertrauenswürdig. |
|
from-SRX2 |
Datenverkehr von 10.1 zulassen. 21. 0/24 in der nicht vertrauenswürdigen Zone bis 10.1.1 1 1. 0/24 in der Vertrauenszone. |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ike_prop |
|
|
Richtlinien |
ike_pol |
|
|
Gateway |
gw1 |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ipsec_prop |
|
|
Richtlinien |
ipsec_pol |
|
|
VPN |
vpn1 |
|
Sehen Sie Tabelle 4 sich die spezifischen Konfigurationsparameter an Tabelle 6 , die für den Responder in den Beispielen verwendet werden.
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
ge-0/0/1 |
10.1.31.1/24 |
|
ge-0/0/0 |
10.1.21.1/24 |
|
|
st0. 0 (Tunnelschnittstelle) |
10.1.100.2/24 |
|
|
Statische Routen |
172.16.11.1/32 |
Der nächste Hop ist 10.1. 31.2. |
|
10.1.11.0/24 |
Der nächste Hop ist st0. 0. |
|
|
Sicherheitszonen |
nicht vertrauenswürdig |
|
|
Vertrauen |
|
|
|
Sicherheitsrichtlinien |
to-SRX1 |
Datenverkehr von 10.1 zulassen. 21. 0/24 in der Vertrauenszone bis 10.1. 11. 0/24 in der Zone nicht vertrauenswürdig. |
|
from-SRX1 |
Datenverkehr von 10.1 zulassen. 11. 0/24 in der nicht vertrauenswürdigen Zone bis 10.1. 21. 0/24 in der Vertrauenszone. |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ike_prop |
|
|
Richtlinien |
ike_pol |
|
|
Gateway |
gw1 |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ipsec_prop |
|
|
Richtlinien |
ipsec_pol |
|
|
VPN |
vpn1 |
|
Konfiguration
- Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitsparametern für SRX1
- Konfigurieren von IKE für SRX1
- Konfigurieren von IPsec für SRX1
- Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheits-P-Arametern für SRX2
- Konfigurieren von IKE für SRX2
- Konfigurieren von IPsec für SRX2
- Konfiguration für das NAT-Gerät
Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitsparametern für SRX1
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security address-book book1 address Host1 10.1.11.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host2 10.1.21.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX2 match application any set security policies from-zone trust to-zone untrust policy to-SRX2 then permit set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX2 match application any set security policies from-zone untrust to-zone trust policy from-SRX2 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 set interfaces st0 unit 0 family inet address 10.1.100.1/24 set routing-options static route 10.1.21.0/24 next-hop st0.0 set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellens, statische Routes und Sicherheitsparameter:
-
Konfigurieren Sie die mit dem Internet verbundenen Schnittstellen, Host1 und die für das VPN verwendete Schnittstelle.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 user@SRX1# set interfaces st0 unit 0 family inet address 10.1.100.1/24
-
Konfigurieren Sie statische Routen für den Datenverkehr, der das VPN verwendet, und für SRX1, um das NAT-Gerät zu erreichen.
[edit] user@SRX1# set routing-options static route 10.1.21.0/24 next-hop st0.0 user@SRX1# set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
-
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit] user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX1# set security zones security-zone untrust interfaces st0.0 user@SRX1# set security zones security-zone untrust interfaces ge-0/0/1.0
-
Konfigurieren Sie die Vertrauenssicherheitszone.
[edit] user@SRX1# set security zones security-zone trust host-inbound-traffic system-services all user@SRX1# set security zones security-zone trust host-inbound-traffic protocols all user@SRX1# set security zones security-zone trust interfaces ge-0/0/0.0
-
Konfigurieren Sie Adressbücher für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.
[edit] user@SRX1# set security address-book book1 address Host1 10.1.11.0/24 user@SRX1# set security address-book book1 attach zone trust user@SRX1# set security address-book book2 address Host2 10.1.21.0/24 user@SRX1# set security address-book book2 attach zone untrust
-
Erstellen Sie Sicherheitsrichtlinien , um Datenverkehr zwischen den Hosts zu ermöglichen.
[edit] user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match application any user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 then permit user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match application any user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show security show routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.11.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.1.100.1/24;
}
}
}[edit]
user@SRX1# show routing-options
static {
route 10.1.21.0/24 next-hop st0.0;
route 172.16.21.1/32 next-hop 172.16.11.2;
}[edit]
user@SRX1# show security
address-book {
book1 {
address Host1 10.1.11.0/24;
attach {
zone trust;
}
}
book2 {
address Host2 10.1.21.0/24;
attach {
zone untrust;
}
}
}
policies {
from-zone trust to-zone untrust {
policy to-SRX2 {
match {
source-address Host1;
destination-address Host2;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-SRX2 {
match {
source-address Host2;
destination-address Host1;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IKE für SRX1
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.21.1 set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
-
Erstellen Sie einen IKE Phase 1-Vorschlag.
[edit] user@SRX1# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX1# set security ike proposal ike_prop dh-group group2 user@SRX1# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX1# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Erstellen Sie eine IKE Phase-1-Richtlinie.
[edit] user@SRX1# set security ike policy ike_pol mode main user@SRX1# set security ike policy ike_pol proposals ike_prop user@SRX1# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Konfigurieren Sie die IKE Phase 1 Gateway-Parameter. Die Gateway-Adresse sollte die IP für das NAT-Gerät sein.
[edit security ike gateway gw1] user@SRX1# set security ike gateway gw1 ike-policy ike_pol user@SRX1# set security ike gateway gw1 address 172.16.21.1 user@SRX1# set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" user@SRX1# set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" user@SRX1# set security ike gateway gw1 external-interface ge-0/0/1.0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@SRX1# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$9$xPn7-VwsgaJUHqp01IcSs2g”; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike_pol;
address 172.16.21.1;
local-identity user-at-hostname "srx1@example.com";
remote-identity user-at-hostname "srx2@example.com";
external-interface ge-0/0/1.0;
}Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IPsec für SRX1
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
-
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@SRX1# set security ipsec proposal ipsec_prop protocol esp user@SRX1# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX1# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Erstellen Sie die IPsec-Phase-2-Richtlinie.
[edit] user@SRX1# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX1# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Konfigurieren Sie die IPsec-VPN-Parameter.
[edit] user@SRX1# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX1# set security ipsec vpn vpn1 ike gateway gw1 user@SRX1# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX1# set security ipsec vpn vpn1 establish-tunnels immediately
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@SRX1# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheits-P-Arametern für SRX2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security address-book book1 address Host2 10.1.21.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host1 10.1.11.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX1 match application any set security policies from-zone trust to-zone untrust policy to-SRX1 then permit set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX1 match application any set security policies from-zone untrust to-zone trust policy from-SRX1 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 set interfaces st0 unit 0 family inet address 10.1.100.2/24 set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 set routing-options static route 10.1.11.0/24 next-hop st0.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellens, statische Routes und Sicherheitsparameter:
-
Konfigurieren Sie die Schnittstellen, die mit dem Internet, Host2 und der für das VPN verwendeten Schnittstelle verbunden sind.
[edit] user@SRX2# set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 user@SRX2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 user@SRX2# set interfaces st0 unit 0 family inet address 10.1.100.2/24
-
Konfigurieren Sie statische Routen für den Datenverkehr, der das VPN verwendet, und für SRX2, um SRX1 zu erreichen.
[edit] user@SRX2# set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 user@SRX2# set routing-options static route 10.1.11.0/24 next-hop st0.0
-
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit] user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX2# set security zones security-zone untrust interfaces ge-0/0/1.0 user@SRX2# set security zones security-zone untrust interfaces st0.0
-
Konfigurieren Sie die Vertrauenssicherheitszone.
[edit] user@SRX2# set security zones security-zone trust host-inbound-traffic system-services all user@SRX2# set security zones security-zone trust host-inbound-traffic protocols all user@SRX2# set security zones security-zone trust interfaces ge-0/0/0.0
-
Konfigurieren Sie Adressbücher für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.
[edit] user@SRX2# set security address-book book1 address Host2 10.1.21.0/24 user@SRX2# set security address-book book1 attach zone trust user@SRX2# set security address-book book2 address Host1 10.1.11.0/24 user@SRX2# set security address-book book2 attach zone untrust
-
Erstellen Sie Sicherheitsrichtlinien, um Datenverkehr zwischen den Hosts zu ermöglichen.
[edit] user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match application any user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 then permit user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match application any user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show securityshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@SRX2# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.21.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.31.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.1.100.2/24;
}
}
}[edit]
user@SRX2# show routing-options
static {
route 172.16.11.1/32 next-hop 10.1.31.2;
route 10.1.11.0/24 next-hop st0.0;
}[edit]
user@SRX2# show security
address-book {
book1 {
address Host2 10.1.21.0/24;
attach {
zone trust;
}
}
book2 {
address Host1 10.1.11.0/24;
attach {
zone untrust;
}
}
}
policies {
from-zone trust to-zone untrust {
policy to-SRX1 {
match {
source-address Host2;
destination-address Host1;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-SRX1 {
match {
source-address Host1;
destination-address Host2;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IKE für SRX2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.11.1 set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
-
Erstellen Sie einen IKE Phase 1-Vorschlag.
[edit] user@SRX2# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX2# set security ike proposal ike_prop dh-group group2 user@SRX2# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX2# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Erstellen Sie eine IKE Phase-1-Richtlinie.
[edit] user@SRX2# set security ike policy ike_pol mode main user@SRX2# set security ike policy ike_pol proposals ike_prop user@SRX2# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Konfigurieren Sie die IKE Phase 1 Gateway-Parameter. Die Gateway-Adresse sollte die IP für SRX1 sein.
[edit] user@SRX2# set security ike gateway gw1 ike-policy ike_pol user@SRX2# set security ike gateway gw1 address 172.16.11.1 user@SRX2# set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" user@SRX2# set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" user@SRX2# set security ike gateway gw1 external-interface ge-0/0/1.0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@SRX2# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$mP5QF3/At0IE-VsYoa36/"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike_pol;
address 172.16.11.1;
local-identity user-at-hostname "srx2@example.com";
remote-identity user-at-hostname "srx1@example.com";
external-interface ge-0/0/1.0;
}Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IPsec für SRX2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
-
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@SRX2# set security ipsec proposal ipsec_prop protocol esp user@SRX2# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX2# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Erstellen Sie die IPsec-Phase-2-Richtlinie.
[edit] user@SRX2# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX2# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Konfigurieren Sie die IPsec-VPN-Parameter .
[edit] user@SRX2# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX2# set security ipsec vpn vpn1 ike gateway gw1 user@SRX2# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX2# set security ipsec vpn vpn1 establish-tunnels immediately
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@SRX2# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration für das NAT-Gerät
CLI-Schnellkonfiguration
Im Beispiel wird statische NAT verwendet. Statische NAT ist bidirektional, was bedeutet, dass der Datenverkehr von 10.1.31.1 bis 172.16.11.1 dieselbe NAT-Konfiguration verwendet.
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security nat static rule-set rule1 from zone untrust set security nat static rule-set rule1 rule ipsec match source-address 172.16.11.1/32 set security nat static rule-set rule1 rule ipsec match destination-address 172.16.21.1/32 set security nat static rule-set rule1 rule ipsec then static-nat prefix 10.1.31.1/32 set security policies from-zone trust to-zone untrust policy allow-out match source-address any set security policies from-zone trust to-zone untrust policy allow-out match destination-address any set security policies from-zone trust to-zone untrust policy allow-out match application any set security policies from-zone trust to-zone untrust policy allow-out then permit set security policies from-zone untrust to-zone trust policy allow-out-in match source-address any set security policies from-zone untrust to-zone trust policy allow-out-in match destination-address any set security policies from-zone untrust to-zone trust policy allow-out-in match application any set security policies from-zone untrust to-zone trust policy allow-out-in then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 172.16.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.2/24 set routing-options static route 172.16.11.0/24 next-hop 172.16.21.2
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen des IKE Phase 1-Status auf SRX1
- Überprüfen der IPsec-Sicherheitszuordnungen auf SRX1
- Überprüfung des IKE Phase 1-Status auf SRX2
- Überprüfen von IPsec-Sicherheitszuordnungen auf SRX2
- Überprüfung der Host-to-Host-Erreichbarkeit
Überprüfen des IKE Phase 1-Status auf SRX1
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ike security-associations detail Befehl.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 302301 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.21.1
user@SRX1> show security ike security-associations detail
IKE peer 172.16.21.1, Index 302301, Gateway Name: gw1
Role: Initiator, State: UP
Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500
Lifetime: Expires in 19657 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: srx2@example.com
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1780
Output bytes : 2352
Input packets: 7
Output packets: 14
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500
Local identity: srx1@example.com
Remote identity: srx2@example.com
Flags: IKE SA is createdBedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
-
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations index detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten. -
Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und dass Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird. Denken Sie daran, dass NAT-T sowohl IKE- als auch ESP-Datenverkehr innerhalb von UDP mit Port 4500 verkapselt.
-
Rolleninitiatorstatus
-
Up :Die Phase 1 SA wird eingerichtet.
-
Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
-
Beide Peers im IPsec SA-Paar verwenden Port 4500.
-
Peer-IKE-ID: Stellen Sie sicher, dass die Remoteadresse korrekt ist.
-
Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese korrekt sind.
-
-
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
-
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
-
IKE-Richtlinienparameter
-
Vorab-Schlüsselinformationen
-
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)
Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Phase 1 Lebensdauer
-
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
-
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
-
Informationen zu Initiatoren und Responder
-
Anzahl der erstellten IPsec-SAs
-
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen der IPsec-Sicherheitszuordnungen auf SRX1
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ipsec security-associations detail Befehl.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 fc5dbac4 2160/ unlim - root 4500 172.16.21.1 >131073 ESP:3des/sha1 45fed9d8 2160/ unlim - root 4500 172.16.21.1
user@SRX1> show security ipsec security-associations detail
ID: 131073 Virtual-system: root, VPN Name: vpn1
Local Gateway: 172.16.11.1, Remote Gateway: 172.16.21.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 22 2022 11:07:40 -0700: IPSec SA rekey successfully completed (3 times)
Fri Jul 22 2022 08:38:41 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:41 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (3 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:26 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:24 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times)
Direction: inbound, SPI: fc5dbac4, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2153 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1532 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 45fed9d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2153 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1532 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
-
Das Remote-Gateway hat eineAdresse von 1 72.1 6. 21.1.
-
Beide Peers im IPsec SA-Paar verwenden Port 4500.
-
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 2160/unlim zeigt an, dass die Lebensdauer der Phase 2 in 2160 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
-
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.
-
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Überprüfung des IKE Phase 1-Status auf SRX2
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ike security-associations detail Befehl.
user@SRX2> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5567091 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.11.1
user@SRX2> show security ike security-associations detail
IKE peer 172.16.11.1, Index 5567091, Gateway Name: gw1
Role: Responder, State: UP
Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500
Lifetime: Expires in 18028 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: srx1@example.com
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 2352
Output bytes : 1780
Input packets: 14
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 3 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500
Local identity: srx2@example.com
Remote identity: srx1@example.com
Flags: IKE SA is createdBedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
-
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten. -
Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und dass Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.
-
Rollen-Responder-Status
-
Up: Phase 1 SA wurde eingerichtet.
-
Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
-
Peer-IKE-ID: Stellen Sie sicher, dass die Adresse korrekt ist.
-
Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese Adressen korrekt sind.
-
-
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
-
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
-
IKE-Richtlinienparameter
-
Vorab-Schlüsselinformationen
-
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)
Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Phase 1 Lebensdauer
-
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
-
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
-
Informationen zu Initiatoren und Responder
-
Anzahl der erstellten IPsec-SAs
-
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen von IPsec-Sicherheitszuordnungen auf SRX2
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ipsec security-associations detail Befehl.
user@SRX2> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 45fed9d8 1526/ unlim - root 4500 172.16.11.1 >131073 ESP:3des/sha1 fc5dbac4 1526/ unlim - root 4500 172.16.11.1
user@SRX2> show security ipsec security-associations detail
ID: 131073 Virtual-system: root, VPN Name: vpn1
Local Gateway: 10.1.31.1, Remote Gateway: 172.16.11.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 4500, Nego#: 25, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 22 2022 11:07:40 -0700: IPSec SA negotiation successfully completed (4 times)
Fri Jul 22 2022 08:38:41 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (5 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:25 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Thu Jul 21 2022 17:57:09 -0700: Peer's IKE-ID validation failed during negotiation (1 times)
Thu Jul 21 2022 17:49:30 -0700: IKE SA negotiation successfully completed (4 times)
Direction: inbound, SPI: 45fed9d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1461 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 885 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: fc5dbac4, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1461 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 885 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
-
Das Remote-Gateway hat eine IP-Adresse von 172. 16. 11.1.
-
Beide Peers im IPsec SA-Paar verwenden Port 4500.
-
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 1562/unlim zeigt an, dass die Lebensdauer der Phase 2 in 1562 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
-
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.
-
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Die Ausgabe des show security ipsec security-associations index index_iddetail Befehls listet die folgenden Informationen auf:
-
Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.
Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.
-
Ein weiterer häufiger Grund für das Ausfallen von Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.
Überprüfung der Host-to-Host-Erreichbarkeit
Zweck
Stellen Sie sicher, dass Host1 host2 erreicht werden kann.
Aktion
Von Host1 ping Host2. Verwenden Sie den Befehl show security ipsec statistics auf SRX1, um zu überprüfen, ob der Datenverkehr über das VPN verwendet wird. Löschen Sie die Statistiken, indem Sie den Befehl clear security ipsec statistics ping verwenden, bevor Sie den ping-Befehl ausführen.
user@Host1> ping 10.1.21.2 count 10 rapid PING 10.1.21.2 (10.1.21.2): 56 data bytes !!!!!!!!!! --- 10.1.21.2 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.437/4.270/7.637/1.158 ms
user@SRX1> show security ipsec statistics ESP Statistics: Encrypted bytes: 1360 Decrypted bytes: 840 Encrypted packets: 10 Decrypted packets: 10 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Bedeutung
Die Ausgaben zeigen, dass Host1 ping Host2 kann und dass der Datenverkehr das VPN verwendet.
Beispiel: Konfigurieren eines richtlinienbasierten VPN mit einem Initiator und einem Responder hinter einem NAT-Gerät
In diesem Beispiel wird gezeigt, wie Sie ein richtlinienbasiertes VPN mit einem Initiator und einem Responder hinter einem NAT-Gerät konfigurieren, damit Daten sicher zwischen einer Zweigstelle und dem Unternehmensbüro übertragen werden können.
Anforderungen
Bevor Sie beginnen, lesen Sie IPsec – Übersicht.
Überblick
In diesem Beispiel konfigurieren Sie ein richtlinienbasiertes VPN für eine Zweigstelle in Chicago, Illinois, da Sie Tunnelressourcen einsparen möchten, aber dennoch granulare Einschränkungen für den VPN-Datenverkehr erhalten möchten. Benutzer in der Zweigstelle nutzen das VPN, um sich mit ihrer Unternehmenszentrale in Sunnyvale, Kalifornien, zu verbinden.
In diesem Beispiel konfigurieren Sie Schnittstellen, Routing-Optionen, Sicherheitszonen und Sicherheitsrichtlinien sowohl für einen Initiator als auch für einen Responder.
Abbildung 2 zeigt ein Beispiel für eine Topologie für ein VPN mit einem Initiator und einem Responder hinter einem statischen NAT-Gerät.
In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE Phase 1, einschließlich lokaler und Remote-Peers, IPsec Phase 2 und die Sicherheitsrichtlinie. Beachten Sie im obigen Beispiel, dass die private IP-Adresse 13.168.11.1 des Responders vom statischen NAT-Gerät ausgeblendet und der öffentlichen IP-Adresse 1.1.100.1 zugeordnet wird.
Sehen Sie Tabelle 7 sich die spezifischen Konfigurationsparameter an Tabelle 10 , die für den Initiator in den Beispielen verwendet werden.
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Schnittstellen |
ge-0/0/0 |
12.168.99.100/24 |
ge-0/0/1 |
10.1.99.1/24 |
|
Statische Routen |
10.2.99.0/24 (Standardroute) |
Der nächste Hop ist 12.168.99.100. |
1.1.100.0/24 |
12.168.99.100 |
|
Sicherheitszonen |
Vertrauen |
|
nicht vertrauenswürdig |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
ike_prop |
|
Richtlinien |
ike_pol |
|
Gateway |
Tor |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
ipsec_prop |
|
Richtlinien |
ipsec_pol |
|
VPN |
first_vpn |
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der Trust Zone zur nicht vertrauenswürdigen Zone. |
pol1 |
|
Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der nicht vertrauenswürdigen Zone zur Trust Zone. |
pol1 |
|
Sehen Sie Tabelle 11 sich die spezifischen Konfigurationsparameter an Tabelle 14 , die für den Responder in den Beispielen verwendet werden.
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Schnittstellen |
ge-0/0/0 |
13.168.11.100/24 |
ge-0/0/1 |
10.2.99.1/24 |
|
Statische Routen |
10.1.99.0/24 (Standardroute) |
Der nächste Hop ist 13.168.11.100 |
1.1.100.0/24 |
13.168.11.100 |
|
Sicherheitszonen |
Vertrauen |
|
nicht vertrauenswürdig |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
ike_prop |
|
Richtlinien |
ike_pol |
|
Gateway |
Tor |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
ipsec_prop |
|
Richtlinien |
ipsec_pol |
|
VPN |
first_vpn |
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der Trust Zone zur nicht vertrauenswürdigen Zone. |
pol1 |
|
Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der nicht vertrauenswürdigen Zone zur Trust Zone. |
pol1 |
|
Konfiguration
- Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitszonen für den Initiator
- Konfigurieren von IKE für den Initiator
- Konfigurieren von IPsec für den Initiator
- Konfigurieren von Sicherheitsrichtlinien für den Initiator
- NAT-Konfiguration für den Initiator
- Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitszonen für den Responder
- Konfigurieren von IKE für Den Responder
- Konfigurieren von IPsec für den Responder
- Konfigurieren von Sicherheitsrichtlinien für den Responder
- Nat-Konfiguration für Den Responder
Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitszonen für den Initiator
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
[edit] set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24 set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/0.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellen, statische Routen und Sicherheitszonen:
Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@host# set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
Konfigurieren Sie die Vertrauenssicherheitszone.
[edit ] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Weisen Sie der Trust Security Zone eine Schnittstelle zu.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Geben Sie Systemservices für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Weisen Sie der nicht vertrauenswürdigen Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl und show security zonesshow routing-optionsdie show interfacesBefehle eingeben, wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.2.99.0/24 next-hop 12.168.99.1;
route 1.1.100.0/24 next-hop 12.168.99.1;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IKE für den Initiator
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123” set security ike gateway gate ike-policy ike_pol set security ike gateway gate address 13.168.11.100 set security ike gateway gate external-interface ge-0/0/0.0 set security ike gateway gate local-identity hostname chicago
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
Erstellen Sie den IKE Phase 1-Vorschlag.
[edit security ike] user@host# edit proposal ike_prop
Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Erstellen Sie eine IKE Phase-1-Richtlinie.
[edit security ike policy ] user@host# edit policy ike_pol
Legen Sie den IKE Phase 1-Richtlinienmodus fest.
[edit security ike policy ike_pol] user@host# set mode aggressive
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.
[edit security ike policy ike_pol pre-shared-key] user@host# set ascii-text "$ABC123”
Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.
[edit security ike ] user@host# set gateway gate external-interface ge-0/0/0.0
Erstellen Sie eine IKE Phase 1 Gateway-Adresse.
[edit security ike gateway gate] set address 13.168.11.100
Definieren der IKE Phase 1-Richtlinienreferenz.
[edit security ike gateway gate] set ike-policy ike_pol
Für den lokalen Peer festgelegt
local-identity.[edit security ike gateway gate] user@host# set local-identity hostname chicago
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123”
}
gateway gate {
ike-policy ike_pol;
address 13.168.11.100;
local-identity hostname chicago;
external-interface ge-0/0/0.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IPsec für den Initiator
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol set security ipsec vpn first_vpn establish-tunnels immediately
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@host# edit security ipsec proposal ipsec_prop
Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Geben Sie IPsec Phase 2 an, um die perfect Forward Secrecy (PFS)-Gruppe1 zu verwenden.
[edit security ipsec policy ipsec_pol ] user@host# set perfect-forward-secrecy keys group1
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Geben Sie die IPsec-Phase-2-Richtlinie an.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Sicherheitsrichtlinien für den Initiator
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone zuzulassen.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
NAT-Konfiguration für den Initiator
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.23/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.22
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Initiator, der NAT bereitstellt:
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 12.168.99.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.23/24
Zonen konfigurieren.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
NAT konfigurieren.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Konfigurieren Sie die Routing-Option.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.22
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security nat Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security nat
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.23/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.22;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitszonen für den Responder
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24 set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellen, statische Routen, Sicherheitszonen und Sicherheitsrichtlinien:
Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@host# set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1
Weisen Sie der nicht vertrauenswürdigen Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Vertrauenssicherheitszone.
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Weisen Sie der Trust Security Zone eine Schnittstelle zu.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show security zonesshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.2.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.1.99.0/24 next-hop 13.168.11.1;
route 1.1.100.0/24 next-hop 13.168.11.1;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IKE für Den Responder
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123" set security ike gateway gate ike-policy ike_pol set security ike gateway gate dynamic hostname chicago set security ike gateway gate external-interface ge-0/0/0.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-key
Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Erstellen Sie eine IKE Phase-1-Richtlinie.
[edit security ike] user@host# edit policy ike_pol
Legen Sie den IKE Phase 1-Richtlinienmodus fest.
[edit security ike policy ike_pol] user@host# set mode aggressive
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text "$ABC123"
Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie seinen dynamischen Hostnamen.
[edit security ike gateway gate] user@host# set dynamic hostname chicago
Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.
[edit security ike gateway gate] user@host# set external-interface ge-0/0/0.0
Definieren der IKE Phase 1-Richtlinienreferenz.
[edit security ike gateway gate] user@host# set ike-policy ike_pol
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123";
}
gateway gate {
ike-policy ike_pol;
dynamic hostname chicago;
external-interface ge-0/0/0.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IPsec für den Responder
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@host# edit security ipsec proposal ipsec_prop
Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.
[edit security security ipsec proposal ipsec_prop] user@host# set protocol esp
Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Erstellen Sie die IPsec-Phase-2-Richtlinie.
[edit security ipsec] user@host# edit policy ipsec_pol
Legen Sie IPsec Phase 2 so fest, dass group1 (Perfect Forward Secrecy, PFS) verwendet wird.
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group1
Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Geben Sie die IPsec-Phase-2-Richtlinie an.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Sicherheitsrichtlinien für den Responder
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone zuzulassen.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Nat-Konfiguration für Den Responder
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.22/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.23
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Responder, der NAT bereitstellt:
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 13.168.11.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.22/24
Zonen konfigurieren.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
NAT konfigurieren.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Konfigurieren Sie die Routing-Option.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.23
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security nat Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security nat
nat {
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.22/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.23;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen des IKE Phase 1-Status für den Initiator
- Überprüfen von IPsec-Sicherheitszuordnungen für den Initiator
- Überprüfung des IKE Phase 1-Status für den Responder
- Überprüfen von IPsec-Sicherheitszuordnungen für den Responder
Überprüfen des IKE Phase 1-Status für den Initiator
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Bevor Sie mit der Überprüfung beginnen, müssen Sie Datenverkehr von einem Host im 10.1.99.0-Netzwerk an einen Host im 10.2.99.0-Netzwerk senden. Bei routenbasierten VPNs kann der Datenverkehr durch die Firewall der SRX-Serie über den Tunnel initiiert werden. Wir empfehlen, beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf der einen Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN zu senden. Starten Sie beispielsweise einen Ping-Vorgang von 10.1.99.2 bis 10.2.99.2.
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5649304 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 13.168.11.
user@host> show security ike security-associations index 5649304 detail
IKE peer 13.168.11.100, Index 5649304, Gateway Name: gate
Role: Initiator, State: UP
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Lifetime: Expires in 26359 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 13.168.11.100
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Encryption : 3des-cbc
Pseudo random function: hmac-md5
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1140
Output bytes : 1203
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 3 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Local identity: chicago
Remote identity: 13.168.11.100
Flags: IKE SA is created
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations index detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten.Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und der Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.
Rolleninitiatorstatus
Up: Phase 1 SA wurde eingerichtet.
Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
Beide Peers im IPsec SA-Paar verwenden Port 4500, was anzeigt, dass NAT-T implementiert ist. (NAT-T verwendet Port 4500 oder einen anderen zufälligen, hochnummerierten Port.)
Peer-IKE-ID: Überprüfen Sie, ob die Remote-ID (Responder) korrekt ist. In diesem Beispiel lautet der Hostname sunnyvale.
Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese korrekt sind.
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
IKE-Richtlinienparameter
Vorab-Schlüsselinformationen
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)
Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Phase 1 Lebensdauer
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
Informationen zu Initiatoren und Responder
Anzahl der erstellten IPsec-SAs
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen von IPsec-Sicherheitszuordnungen für den Initiator
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/md5 aff3ac30 1103/ unlim - root 4500 13.168.11.100 >2 ESP:3des/md5 40539d12 1103/ unlim - root 4500 13.168.11.100
user@host> show security ipsec security-associations detail
ID: 2 Virtual-system: root, VPN Name: first_vpn
Local Gateway: 12.168.99.100, Remote Gateway: 13.168.11.100
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Wed Apr 08 2020 19:13:53: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Apr 08 2020 19:13:09: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:13:09: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:09: IKE SA negotiation successfully completed (5 times)
Wed Apr 08 2020 19:12:18: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:12:18: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:12:12: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:12:12: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:06:52: Peer's IKE-ID validation failed during negotiation (2 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (2 times)
Wed Apr 08 2020 19:05:26: Peer's IKE-ID validation failed during negotiation (1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Apr 08 2020 19:04:26: Peer's IKE-ID validation failed during negotiation (1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Apr 08 2020 19:03:26: Peer's IKE-ID validation failed during negotiation (1 times)
Direction: inbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
Das Remote-Gateway hat eine NAT-Adresse von 13.168.11.100.
Beide Peers im IPsec SA-Paar verwenden Port 4500, was anzeigt, dass NAT-T implementiert ist. (NAT-T verwendet Port 4500 oder einen anderen zufälligen, hochnummerierten Port.).
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3390/ unlimited zeigt an, dass die Lebensdauer der Phase 2 in 3390 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Überprüfung des IKE Phase 1-Status für den Responder
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2914355 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 1.1.100.23
user@host> show security ike security-associations index 2914355 detail
IKE peer 1.1.100.23, Index 2914355, Gateway Name: gate
Role: Responder, State: UP
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Lifetime: Expires in 26137 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: chicago
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Encryption : 3des-cbc
Pseudo random function: hmac-md5
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1203
Output bytes : 1140
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Local identity: 13.168.11.100
Remote identity: chicago
Flags: IKE SA is created
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations index detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten.Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und der Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.
Rollen-Responder-Status
Up: Phase 1 SA wurde eingerichtet.
Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
Peer-IKE-ID: Stellen Sie sicher, dass die lokale ID des Peers korrekt ist. In diesem Beispiel lautet der Hostname chicago.
Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese korrekt sind.
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
IKE-Richtlinienparameter
Vorab-Schlüsselinformationen
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)
Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Phase 1 Lebensdauer
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
Informationen zu Initiatoren und Responder
Anzahl der erstellten IPsec-SAs
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen von IPsec-Sicherheitszuordnungen für den Responder
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108878 ESP:3des/md5 40539d12 939/ unlim - root 23434 1.1.100.23 >67108878 ESP:3des/md5 aff3ac30 939/ unlim - root 23434 1.1.100.23
user@host> show security ipsec security-associations detail
ID: 67108878 Virtual-system: root, VPN Name: first_vpn
Local Gateway: 13.168.11.100, Remote Gateway: 1.1.100.23
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1
Port: 23434, Nego#: 8, Fail#: 0, Def-Del#: 0 Flag: 0x608829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Wed Apr 08 2020 19:14:22: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:14:15: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:39: IPSec SA negotiation successfully completed (3 times)
Wed Apr 08 2020 19:13:39: IKE SA negotiation successfully completed (4 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Apr 08 2020 19:10:39: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:10:20: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:10:08: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Direction: inbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
Das Remote-Gateway hat eine NAT-Adresse von 1.1.100.23.
Beide Peers im IPsec SA-Paar verwenden Port 4500, was anzeigt, dass NAT-T implementiert ist. (NAT-T verwendet Port 4500 oder einen anderen zufälligen, hochnummerierten Port.)
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3571/unlim zeigt an, dass die Lebensdauer der Phase 2 in 3571 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Beispiel: Konfiguration von NAT-T mit dynamischem Endpunkt-VPN
Dieses Beispiel zeigt, wie Sie ein routenbasiertes VPN konfigurieren, bei dem der IKEv2-Initiator ein dynamisches Endgerät hinter einem NAT-Gerät ist.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei Firewalls der SRX-Serie, die in einem Chassis-Cluster konfiguriert sind
Eine Firewall der SRX-Serie mit NAT
Eine Firewall der SRX-Serie für Netzwerkzugriff in Zweigstellen
Junos OS Version 12.1X46-D10 oder höher für IKEv2 NAT-T-Unterstützung
Überblick
In diesem Beispiel wird ein IPsec-VPN zwischen der Zweigstelle (IKEv2-Initiator) und dem Hauptsitz (IKEv2 Responder) konfiguriert, um den Netzwerkverkehr zwischen den beiden Standorten zu sichern. Die Zweigstelle befindet sich hinter dem NAT-Gerät. Die Adresse der Zweigstelle wird dynamisch zugewiesen und ist dem Responder unbekannt. Der Initiator wird mit der Remote-Identität des Responders für die Tunnel-Aushandlung konfiguriert. Mit dieser Konfiguration wird ein dynamisches Endpunkt-VPN zwischen den Peers über das NAT-Gerät hinweg eingerichtet.
Abbildung 3 zeigt ein Beispiel für eine Topologie mit NAT-Traversal (NAT-T) und dynamischem Endpunkt-VPN.
In diesem Beispiel wird die dem Gerät dynamisch zugewiesene IP-Adresse des Initiators, 192.179.100.50, vom NAT-Gerät ausgeblendet und in 100.10.10.1.253 übersetzt.
In diesem Beispiel gelten die folgenden Konfigurationsoptionen:
Die auf dem Initiator konfigurierte lokale Identität muss mit der auf dem Responder konfigurierten Remote-Gateway-Identität übereinstimmen.
Die Optionen für Phase 1 und Phase 2 müssen zwischen dem Initiator und dem Responder übereinstimmen.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr ermöglicht, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 wurde der Standardwert für die nat-keepalive auf [edit security ike gateway gateway-name] Hierarchieebene konfigurierte Option von 5 Sekunden auf 20 Sekunden geändert.
In SRX1400-, SRX3400-, SRX3600-, SRX5600- und SRX5800-Geräten funktionieren IKE-Verhandlungen mit NAT-Traversal nicht, wenn sich der IKE-Peer hinter einem NAT-Gerät befindet, das die Quell-IP-Adresse der IKE-Pakete während der Aushandlung ändert. Wenn das NAT-Gerät beispielsweise mit DIP konfiguriert ist, ändert es die Quell-IP, weil das IKE-Protokoll den UDP-Port von 500 auf 4500 wechselt. (Die Plattformunterstützung hängt von der Version des Junos OS in Ihrer Installation ab.)
Konfiguration
- Konfigurieren des Zweigstellengeräts (IKEv2-Initiator)
- Konfigurieren des NAT-Geräts
- Konfigurieren des Hauptniederlassungsgeräts (IKEv2 Responder)
Konfigurieren des Zweigstellengeräts (IKEv2-Initiator)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 192.179.100.50/24 set interfaces ge-0/0/2 unit 0 family inet address 192.179.2.20/24 set interfaces st0 unit 0 family inet address 172.168.100.1/16 set routing-options static route 192.179.1.0/24 next-hop st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway HQ_GW ike-policy IKE_POL set security ike gateway HQ_GW address 100.10.1.50 set security ike gateway HQ_GW local-identity hostname branch.example.net set security ike gateway HQ_GW external-interface ge-0/0/1.0 set security ike gateway HQ_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn HQ_VPN bind-interface st0.0 set security ipsec vpn HQ_VPN ike gateway HQ_GW set security ipsec vpn HQ_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn HQ_VPN establish-tunnels immediately set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gerät in der Zweigstelle:
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 192.179.100.50/24 user@host# set ge-0/0/2 unit 0 family inet address 192.179.2.20/24 user@host# set st0 unit 0 family inet address 172.168.100.1/16
Konfigurieren Sie Routing-Optionen.
[edit routing-options] user@host# set static route 192.179.1.0/24 next-hop st0.0
Zonen konfigurieren.
[edit security zones security-zones trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0 [edit security zones security-zones untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host#set interfaces st0.0
Konfigurieren Sie Phasen-1-Optionen.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway HQ_GW] user@host# set ike-policy IKE_POL user@host# set address 100.10.1.50 user@host# set local-identity hostname branch.example.net user@host# set external-interface ge-0/0/1.0 user@host# set version v2-only
Konfigurieren Sie Phasen-2-Optionen.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set proposals IPSEC_PROP user@host# set perfect-forward-secrecy keys group5 [edit security ipsec vpn HQ_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway HQ_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Konfigurieren Sie die Sicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, , show security zonesshow security ike, show security ipsecund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.179.100.50/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.179.2.20/24;
}
}
}
st0 {
unit 0 {
family inet {
address 172.168.100.1/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.1.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$ABC123”
}
gateway HQ_GW{
ike-policy IKE_POL;
address 100.10.1.50;
local-identity hostname branch.example.net;
external-interface ge-0/0/1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn HQ_VPN {
bind-interface st0.0;
ike {
gateway HQ_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren des NAT-Geräts
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 100.10.1.253/24 set interfaces fe-0/0/2 unit 0 family inet address 192.179.100.253/24 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/2.0 set security nat source rule-set DYNAMIC from zone trust set security nat source rule-set DYNAMIC to zone untrust set security nat source rule-set DYNAMIC rule R2R3 match source-address 0.0.0.0/0 set security nat source rule-set DYNAMIC rule R2R3 then source-nat interface set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Zwischenrouter, der NAT bereitstellt:
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 100.10.1.253/24 user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24
Zonen konfigurieren.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/2.0
NAT konfigurieren.
[edit security nat source rule-set DYNAMIC] user@host# set from zone trust user@host# set to zone untrust user@host# set rule R2R3 match source-address 0.0.0.0/0 user@host# set rule R2R3 then source-nat interface
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show security zones, show security nat sourceund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 100.10.1.253/24;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 192.179.100.253/24;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/2.0;
}
}
[edit]
user@host# show security nat source
rule-set DYNAMIC {
from zone untrust;
to zone trust;
rule R2R3 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren des Hauptniederlassungsgeräts (IKEv2 Responder)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set chassis cluster reth-count 5 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/2 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/2 weight 255 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.179.1.10/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 100.10.1.50/24 set interfaces st0 unit 0 family inet address 172.168.100.2/16 set routing-options static route 192.179.2.0/24 next-hop st0.0 set routing-options static route 192.179.100.0/24 next-hop 100.10.1.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces reth0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway Branch_GW ike-policy IKE_POL set security ike gateway Branch_GW dynamic hostname branch.example.net set security ike gateway Branch_GW dead-peer-detection optimized set security ike gateway Branch_GW external-interface reth1.0 set security ike gateway Branch_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn Branch_VPN bind-interface st0.0 set security ipsec vpn Branch_VPN ike gateway Branch_GW set security ipsec vpn Branch_VPN ike ipsec-policy IPSEC_POL set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Konfigurieren Sie zwei Knoten als Gehäuse-Cluster.
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 1 node 0 priority 220 user@host# set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-0/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-0/0/2 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/2 weight 255
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.179.1.10/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 100.10.1.50/24 user@host# set st0 unit 0 family inet address 172.168.100.2/16
Konfigurieren Sie Routing-Optionen.
[edit routing-options] user@host# set static route 192.179.2.0/24 next-hop st0.0 user@host# set static route 192.179.100.0/24 next-hop 100.10.1.253
Zonen konfigurieren.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces st0.0 user@host# set interfaces reth1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth0.0
Konfigurieren Sie Phasen-1-Optionen.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway Branch_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname branch.example.net user@host# set dead-peer-detection optimized user@host# set external-interface reth1.0 user@host# set version v2-only
Konfigurieren Sie Phasen-2-Optionen.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn Branch_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway Branch_GW user@host# set ike ipsec-policy IPSEC_POL
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show chassis clusterBefehle , show interfaces, show routing-options, , show security ipsecshow security zonesshow security ikeund show security policies die Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show chassis cluster
reth-count 5;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-0/0/1 weight 255;
ge-8/0/1 weight 255;
ge-0/0/2 weight 255;
ge-8/0/2 weight 255;
}
}
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/2 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.179.1.10/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 100.10.1.50/24;
}
}
}
st0 {
unit 0{
family inet {
address 172.168.100.2/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.2.0/24 next-hop st0.0;
route 192.179.100.0/24 next-hop 100.10.1.253;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
reth1.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text “$ABC123”
}
gateway Branch_GW {
ike-policy IKE_POL;
dynamic hostname branch.example.net;
dead-peer-detection optimized;
external-interface reth1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn Branch_VPN {
bind-interface st0.0;
ike {
gateway Branch_GW;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des IKE Phase 1-Status für den Responder
- Überprüfen von IPsec-Sicherheitszuordnungen für den Responder
Überprüfung des IKE Phase 1-Status für den Responder
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Geben Sie im Betriebsmodus auf Knoten 0 den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host# show security ike security-associations node0: Index State Initiator cookie Responder cookie Mode Remote Address 1367024684 UP f82c54347e2f3fb1 020e28e1e4cae003 IKEv2 100.10.1.253
user@host# show security ike security-associations detail node0: IKE peer 100.10.1.253, Index 1367024684, Gateway Name: Branch_GW Location: FPC 5, PIC 0, KMD-Instance 2 Role: Responder, State: UP Initiator cookie: f82c54347e2f3fb1, Responder cookie: 020e28e1e4cae003 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 100.10.1.50:4500, Remote: 100.10.1.253:2541 Lifetime: Expires in 3593 seconds Peer ike-id: branch.example.net Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 683 Output bytes : 400 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations index index_id detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten.Remoteadresse: Stellen Sie sicher, dass die lokale IP-Adresse korrekt ist und dass Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.
Rollen-Responder-Status
Up: Phase 1 SA wurde eingerichtet.
Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
Peer-IKE-ID: Stellen Sie sicher, dass die Adresse korrekt ist.
Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese Adressen korrekt sind.
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete sendet)
IKE-Richtlinienparameter
Vorab-Schlüsselinformationen
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)
Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Phase 1 Lebensdauer
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
Informationen zu Initiatoren und Responder
Anzahl der erstellten IPsec-SAs
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen von IPsec-Sicherheitszuordnungen für den Responder
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus auf Knoten 0 den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host# show security ipsec security-associations node0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77856771 ESP:aes-cbc-256/sha1 4ad5af40 7186/unlim - root 2541 100.10.1.253 >77856771 ESP:aes-cbc-256/sha1 5bb0a5ee 7186/unlim - root 2541 100.10.1.253
user@host# show security ipsec security-associations detail
node0
ID: 77856771 Virtual-system: root, VPN Name: Branch_VPN
Local Gateway: 100.10.1.50, Remote Gateway: 100.10.1.253
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv2
DF-bit: clear
Bind-interface: st0.0
Port: 2541, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 608a29
Tunnel Down Reason: SA not initiated
Location: FPC 5, PIC 0, KMD-Instance 2
Direction: inbound, SPI: 4ad5af40, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 7182 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 6587 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
Das Remote-Gateway hat eine IP-Adresse von 100.10.1.253.
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Lebenszeitwert gibt an, dass die Lebensdauer der Phase 2 in 7186 Sekunden abläuft und keine Lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Die Ausgabe des show security ipsec security-associations index index_id detail Befehls listet die folgenden Informationen auf:
Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.
Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers übereinstimmen. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.
Ein weiterer häufiger Grund für das Ausfallen von Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.
nat-keepalive auf [edit security ike gateway gateway-name] Hierarchieebene konfigurierte Option von 5 Sekunden auf 20 Sekunden geändert.