Routenbasierte IPsec-VPNs
Ein routenbasiertes VPN ist eine Konfiguration, bei der ein IPsec-VPN-Tunnel, der zwischen zwei Endpunkten erstellt wird, von einer Route referenziert wird, die bestimmt, welcher Datenverkehr basierend auf einer Ziel-IP-Adresse durch den Tunnel gesendet wird.
Grundlegendes zu routenbasierten IPsec-VPNs
Mit routenbasierten VPNs können Sie Dutzende von Sicherheitsrichtlinien konfigurieren, um den Datenverkehr zu regulieren, der durch einen einzigen VPN-Tunnel zwischen zwei Standorten fließt, und es ist nur ein Satz von IKE- und IPsec-SAs am Werk. Im Gegensatz zu richtlinienbasierten VPNs bezieht sich eine Richtlinie bei routenbasierten VPNs auf eine Zieladresse und nicht auf einen VPN-Tunnel. Wenn Junos OS nach einer Route sucht, um die Schnittstelle zu finden, die zum Senden von Datenverkehr an die Zieladresse des Pakets verwendet werden soll, findet es eine Route über eine sichere Tunnelschnittstelle (st0.).x Die Tunnelschnittstelle ist an einen bestimmten VPN-Tunnel gebunden, und der Datenverkehr wird an den Tunnel weitergeleitet, wenn die Richtlinienaktion zulässig ist.
Eine Secure-Tunnel-Schnittstelle (st0) unterstützt nur eine IPv4-Adresse und eine IPv6-Adresse gleichzeitig. Dies gilt für alle routenbasierten VPNs. Die Option wird auf st0-Schnittstellen nicht unterstützt.disable
Eine sichere Tunnelschnittstelle (st0) von st0.16000 bis st0.16385 ist für Multinode High Availability und für die HA-Control-Link-Verschlüsselung im Chassis-Cluster reserviert. Bei diesen Schnittstellen handelt es sich nicht um vom Benutzer konfigurierbare Schnittstellen. Sie können nur Schnittstellen von st0.0 bis st0.15999 verwenden.
Beispiele für den Einsatz von routenbasierten VPNs:
Es gibt überlappende Subnetze oder IP-Adressen zwischen den beiden LANs.
Im Netzwerk wird eine Hub-and-Spoke-VPN-Topologie verwendet, und Spoke-to-Spoke-Datenverkehr ist erforderlich.
Primär- und Backup-VPNs sind erforderlich.
Ein dynamisches Routing-Protokoll (z. B. OSPF, RIP oder BGP) wird über das VPN ausgeführt.
Die Konfiguration von RIP-Bedarfsleitungen über Punkt-zu-Mehrpunkt-VPN-Schnittstellen wird nicht unterstützt.
Es wird empfohlen, ein routenbasiertes VPN zu verwenden, wenn Sie VPN zwischen mehreren Remotestandorten konfigurieren möchten. Routenbasiertes VPN ermöglicht das Routing zwischen den Spokes zwischen mehreren Remote-Standorten. Es ist einfacher zu konfigurieren, zu überwachen und Fehler zu beheben.
Siehe auch
Beispiel: Konfigurieren eines routenbasierten VPN
In diesem Beispiel wird gezeigt, wie ein routenbasiertes IPsec-VPN konfiguriert wird, damit Daten sicher zwischen zwei Standorten übertragen werden können.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
-
Jede Firewall der SRX-Serie
- Aktualisiert und erneut validiert mit vSRX Virtual Firewall auf Junos OS Version 20.4R1.
Sind Sie daran interessiert, praktische Erfahrungen mit den in diesem Leitfaden behandelten Themen und Abläufen zu sammeln? Besuchen Sie die IPsec Route-Based VPN-Demonstration in den Juniper Networks Virtual Labs und reservieren Sie noch heute Ihre kostenlose Sandbox! Die routenbasierte IPsec-VPN-Sandbox finden Sie in der Kategorie Sicherheit.
Bevor Sie beginnen, lesen Sie .IPsec – Übersicht
Überblick
In diesem Beispiel konfigurieren Sie ein routenbasiertes VPN auf SRX1 und SRX2. Host1 und Host2 verwenden das VPN, um Datenverkehr zwischen beiden Hosts sicher über das Internet zu senden.
Abbildung 1 zeigt ein Beispiel für eine routenbasierte VPN-Topologie.
In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Anschließend konfigurieren Sie IKE-, IPsec-, Sicherheitsrichtlinien- und TCP-MSS-Parameter. Informationen zu den in diesem Beispiel verwendeten Konfigurationsparametern finden Sie hier.Tabelle 1Tabelle 5
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
GE-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
ST0.0 (Tunnel-Schnittstelle) |
10.100.200.1/24 |
|
|
Statische Routen |
10.100.22.0/24 0.0.0.0/0 |
Der nächste Hop ist st0.0. Der nächste Hop ist 172.16.13.2. |
|
Sicherheitszonen |
Vertrauen |
|
|
Unglaubwürdigkeit |
|
|
|
Vpn |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
Standard |
|
|
Richtlinien |
IKE-POL |
|
|
Gateway |
IKE-GW |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
Standard |
|
|
Richtlinien |
IPSEC-POL |
|
|
VPN |
VPN-zu-Host2 |
|
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu. |
VPN-AUSGANG |
|
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu. |
VPN-IN |
|
|
Zweck |
Konfigurationsparameter |
|---|---|
|
TCP-MSS wird als Teil des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um besser an die MTU-Grenzwerte in einem Netzwerk anzupassen. Bei VPN-Datenverkehr kann der IPsec-Kapselungs-Overhead zusammen mit der IP und dem Frame-Overhead dazu führen, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle überschreitet, was zu einer Fragmentierung führt. Fragmentierung erhöht die Bandbreite und die Geräteressourcen. Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von 1500 oder mehr. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Beispielsweise müssen Sie möglicherweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU aufweist oder wenn zusätzlicher Overhead wie PPP oder Frame Relay vorhanden ist. |
MSS-Wert: 1350 |
Konfiguration
- Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
- Konfigurieren von IKE
- Konfigurieren von IPsec
- Konfigurieren von Sicherheitsrichtlinien
- Konfigurieren von TCP-MSS
- SRX2 konfigurieren
Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und rufen Sie dann den Konfigurationsmodus auf .[edit]commit
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set interfaces st0 unit 0 family inet address 10.100.200.1/24 set routing-options static route 10.100.22.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Schnittstellen-, statische Routen- und Sicherheitszoneninformationen:
-
Konfigurieren Sie die Schnittstellen.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32 user@SRX1# set interfaces st0 unit 0 family inet address 10.100.200.1/24
-
Konfigurieren Sie die statischen Routen.
[edit] user@SRX1# set routing-options static route 10.100.22.0/24 next-hop st0.0 user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Weisen Sie die mit dem Internet verbundene Schnittstelle der nicht vertrauenswürdigen Sicherheitszone zu.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Weisen Sie die auf Host1 zugewandte Schnittstelle der Vertrauenssicherheitszone zu.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Geben Sie die zulässigen Systemdienste für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
-
Weisen Sie die sichere Tunnelschnittstelle der VPN-Sicherheitszone zu.
[edit security zones security-zone VPN] user@SRX1# set interfaces st0.0
-
Geben Sie die zulässigen Systemdienste für die VPN-Sicherheitszone an.
[edit security zones security-zone VPN] user@SRX1# set host-inbound-traffic system-services ping
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , und eingeben.show interfacesshow routing-optionsshow security zones Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
st0 {
unit 0 {
family inet {
address 10.100.200.1/24;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 10.100.22.0/24 next-hop st0.0;
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
Konfigurieren von IKE
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und rufen Sie dann den Konfigurationsmodus auf .[edit]commit
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie IKE:
-
Erstellen Sie den IKE-Vorschlag.
[edit security ike] user@SRX1# set proposal standard
-
Definieren Sie die Authentifizierungsmethode für den IKE-Vorschlag.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Erstellen Sie eine IKE-Richtlinie.
[edit security ike] user@SRX1# set policy IKE-POL
-
Legen Sie den IKE-Richtlinienmodus fest.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Definieren Sie die Authentifizierungsmethode für die IKE-Richtlinie.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Erstellen Sie ein IKE-Gateway, und definieren Sie dessen externe Schnittstelle.
[edit security ike] user@SRX1# set gateway IKE-GW external-interface ge-0/0/1
-
Definieren Sie die IKE-Richtlinienreferenz.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
-
Definieren Sie die Adresse des IKE-Gateways.
[edit security ike gateway IKE-GW] user@SRX1# set address 172.16.23.1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ike Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
Konfigurieren von IPsec
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und rufen Sie dann den Konfigurationsmodus auf .[edit]commit
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 bind-interface st0.0 set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie IPsec:
-
Erstellen Sie einen IPsec-Vorschlag.
[edit] user@SRX1# set security ipsec proposal standard
-
Erstellen Sie die IPsec-Richtlinie.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Geben Sie den IPsec-Vorschlagsverweis an.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Geben Sie die IPsec-Richtlinie an.
[edit security ipsec] user@host# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Geben Sie die Schnittstelle an, die gebunden werden soll.
[edit security ipsec] user@host# set vpn VPN-to-Host2 bind-interface st0.0
-
Konfigurieren Sie den Tunnel so, dass er sofort eingerichtet wird.
[edit security ipsec] user@host# set vpn VPN-to-Host2 establish-tunnels immediately
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ipsec Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
bind-interface st0.0;
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Konfigurieren von Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um Sicherheitsrichtlinien für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und rufen Sie dann den Konfigurationsmodus auf .[edit]commit
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone VPN set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Sicherheitsrichtlinien:
-
Erstellen Sie Adressbucheinträge für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone VPN
-
Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone für Datenverkehr ins Internet zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host1 in der Vertrauenszone zuzulassen, der für Host2 in der VPN-Zone bestimmt ist.
[edit security policies from-zone trust to-zone VPN] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit
-
Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host2 in der VPN-Zone zu Host1 in der Vertrauenszone zuzulassen.
[edit security policies from-zone VPN to-zone trust] user@host# set policy VPN-IN match source-address Host2-Net user@host# set policy VPN-IN match destination-address Host1-Net user@host# set policy VPN-IN match application any user@host# set policy VPN-IN then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle und eingeben.show security address-bookshow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security address-book
Host1 {
address Host1-Net 10.100.11.0/24;
attach {
zone trust;
}
}
Host2 {
address Host2-Net 10.100.22.0/24;
attach {
zone VPN;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit;
}
}
}
from-zone VPN to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit;
}
}
}
Konfigurieren von TCP-MSS
CLI-Schnellkonfiguration
Um TCP MSS für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie TCP-MSS-Informationen:
-
Konfigurieren Sie die TCP-MSS-Informationen.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security flow Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
SRX2 konfigurieren
CLI-Schnellkonfiguration
Als Referenz wird die Konfiguration für den SRX2 bereitgestellt.
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 bind-interface st0.0 set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone VPN set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set interfaces st0 unit 0 family inet address 10.100.200.2/24 set routing-options static route 10.100.11.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen des IKE-Status
- Überprüfen des IPsec-Status
- Testen des Datenverkehrsflusses über das VPN
- Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
Überprüfen des IKE-Status
Zweck
Überprüfen Sie den IKE-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ike security-associations Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie den Befehl.show security ike security-associations index index_number detail
user@SRX1> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1859340 UP b153dc24ec214da9 5af2ee0c2043041a Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859340 detail
IKE peer 172.16.23.1, Index 1859340, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: b153dc24ec214da9, Responder cookie: 5af2ee0c2043041a
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 23038 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1236
Output bytes : 868
Input packets: 9
Output packets: 5
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 2 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
Bedeutung
Der Befehl listet alle aktiven IKE-SAs auf.show security ike security-associations Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem mit der IKE-Einrichtung vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration.
Wenn Sicherheitszuordnungen aufgeführt sind, überprüfen Sie die folgenden Informationen:
-
Index: Dieser Wert ist für jede IKE-SA eindeutig, den Sie im Befehl verwenden können, um weitere Informationen über die SA zu erhalten.
show security ike security-associations index detail -
Remote-Adresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.
-
Bundesland
-
UP—Die IKE SA wurde gegründet.
-
DOWN: Beim Einrichten der IKE SA ist ein Problem aufgetreten.
-
-
Modus: Vergewissern Sie sich, dass der richtige Modus verwendet wird.
Vergewissern Sie sich, dass die folgenden Elemente in Ihrer Konfiguration korrekt sind:
-
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
-
Parameter der IKE-Richtlinie
-
Informationen zum vorinstallierten Schlüssel
-
Vorschlagsparameter (müssen auf beiden Peers übereinstimmen)
Der Befehl listet zusätzliche Informationen über die Sicherheitszuordnung mit einer Indexnummer von 1859340 auf:show security ike security-associations index 1859340 detail
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Lebensdauer
-
Verkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr in beide Richtungen ordnungsgemäß fließt)
-
Informationen zur Rolle
Die Fehlerbehebung wird am besten auf dem Peer mithilfe der Responder-Rolle durchgeführt.
-
Informationen zu Initiatoren und Respondern
-
Anzahl der erstellten IPsec-Sicherheitszuordnungen
-
Anzahl der laufenden Verhandlungen
Überprüfen des IPsec-Status
Zweck
Überprüfen Sie den IPsec-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie den Befehl.show security ipsec security-associations index index_number detail
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 912f9063 3403/ unlim - root 500 172.16.23.1 >131074 ESP:3des/sha1 71dbaa56 3403/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 131074 detail
ID: 131074 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 500, Nego#: 26, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 23 2021 10:46:34 -0700: IPSec SA negotiation successfully completed (23 times)
Fri Jul 23 2021 09:07:24 -0700: IKE SA negotiation successfully completed (3 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 16:33:50 -0700: Tunnel configuration changed. Corresponding IKE/IPSec SAs are deleted (1 times)
Thu Jul 22 2021 16:23:49 -0700: IPSec SA negotiation successfully completed (2 times)
Thu Jul 22 2021 15:34:12
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Thu Jul 22 2021 15:33:25 -0700: IPSec SA negotiation successfully completed (1 times)
Thu Jul 22 2021 15:33:25
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Thu Jul 22 2021 15:33:25 -0700: External interface's address received. Information updated (1 times)
Thu Jul 22 2021 15:33:25 -0700: Bind-interface's zone received. Information updated (1 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: 912f9063, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3302 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2729 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 71dbaa56, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3302 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2729 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Die Ausgabe des Befehls listet die folgenden Informationen auf:show security ipsec security-associations
-
Die ID-Nummer lautet 131074. Verwenden Sie diesen Wert mit dem Befehl, um weitere Informationen zu dieser bestimmten Sicherheitszuordnung abzurufen.
show security ipsec security-associations index -
Es gibt ein IPsec-SA-Paar, das Port 500 verwendet, was darauf hinweist, dass keine NAT-Traversierung implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen Port mit hohen Zahlen.)
-
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensdauer in KB) werden für beide Richtungen angezeigt. Der Wert 3403/ unlim gibt an, dass die Lebensdauer in 3403 Sekunden abläuft und dass keine Lebensgröße angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer kann von der Lebensdauer abweichen, da IPsec nicht von IKE abhängig ist, nachdem das VPN eingerichtet wurde.
-
Die VPN-Überwachung ist für diese Sicherheitszuordnung nicht aktiviert, wie durch einen Bindestrich in der Spalte Mon angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiv ist, und D gibt an, dass die Überwachung nicht verfügbar ist.
-
Das virtuelle System (vsys) ist das Stammsystem und listet immer 0 auf.
Die Ausgabe des Befehls listet die folgenden Informationen auf:show security ipsec security-associations index 131074 detail
-
Die lokale Identität und die Remoteidentität bilden die Proxy-ID für die SA.
Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen IPsec-Fehler. Wenn keine IPsec-Sicherheitszuordnung aufgeführt ist, vergewissern Sie sich, dass die IPsec-Vorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID manuell eingegeben werden, um eine Übereinstimmung zu erzielen.
-
Ein weiterer häufiger Grund für IPsec-Fehler ist die fehlende Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll, oder legen Sie die Ablaufverfolgungsoptionen fest.
Testen des Datenverkehrsflusses über das VPN
Zweck
Überprüfen Sie den Datenverkehrsfluss über das VPN.
Was
Verwenden Sie den Befehl vom Gerät Host1, um den Datenverkehrsfluss zu Host2 zu testen.ping
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.146/3.824/6.193/0.402 ms
Bedeutung
Wenn der Befehl von Host1 fehlschlägt, liegt möglicherweise ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen vor.ping
Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
Zweck
Überprüfen Sie ESP- und Authentifizierungsheaderzähler und -fehler auf eine IPsec-Sicherheitszuordnung.
Was
Geben Sie im Betriebsmodus den Befehl ein, indem Sie die Indexnummer des VPN verwenden, für das Sie Statistiken anzeigen möchten.show security ipsec statistics index index_number
user@SRX1> show security ipsec statistics index 131074 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sie können den Befehl auch verwenden, um Statistiken und Fehler für alle Sicherheitszuordnungen zu überprüfen.show security ipsec statistics
Verwenden Sie den Befehl, um alle IPsec-Statistiken zu löschen.clear security ipsec statistics
Bedeutung
Wenn Sie Probleme mit Paketverlusten in einem VPN feststellen, führen Sie den Befehl or mehrmals aus, um zu überprüfen, ob die Leistungsindikatoren für verschlüsselte und entschlüsselte Pakete inkrementiert werden.show security ipsec statisticsshow security ipsec statistics detail Suchen Sie in der Befehlsausgabe nach inkrementellen Fehlerzählern.