Sichere Tunnelschnittstelle in einem virtuellen Router
Eine sichere Tunnelschnittstelle (st0) ist eine interne Schnittstelle, die von routenbasierten VPNs verwendet wird, um Klartextdatenverkehr an einen IPsec-VPN-Tunnel weiterzuleiten.
Grundlegendes zur Unterstützung virtueller Router für routenbasierte VPNs
Diese Funktion umfasst Routing-Instance-Unterstützung für routenbasierte VPNs. In früheren Versionen funktionierten die VPN-Tunnel auf dieser Schnittstelle nicht ordnungsgemäß, wenn eine st0-Schnittstelle in eine nicht standardmäßige Routinginstanz eingefügt wurde. In Junos OS 10.4 ist die Unterstützung aktiviert, um st0-Schnittstellen in einer Routing-Instanz zu platzieren, wobei jede Einheit im Punkt-zu-Punkt-Modus oder Multipoint-Modus konfiguriert ist. Daher funktioniert der VPN-Datenverkehr jetzt in einer nicht standardmäßigen VR korrekt. Sie können nun verschiedene Untereinheiten der st0-Schnittstelle in verschiedenen Routing-Instanzen konfigurieren. Die folgenden Funktionen werden für nicht standardmäßige Routing-Instanzen unterstützt:
Manuelle Schlüsselverwaltung
Transitverkehr
Eigenverkehr
VPN-Überwachung
Hub-and-Spoke-VPNs
Kapselung des ESP-Protokolls (Security Payload)
AH-Protokoll (Authentication Header)
Aggressiver Modus oder Hauptmodus
ST0 verankert auf der Loopback-Schnittstelle (LO0)
Maximale Anzahl virtueller Router (VRs), die von einer Firewall der SRX-Serie unterstützt werden
Anwendungen wie Application Layer Gateway (ALG), Intrusion Detection and Prevention (IDP) und Content Security
Dead Peer Detection (DPD)
Chassis-Cluster aktiv/Backup
Öffnen Sie OSPF (Shortest Path First) über st0
Routing Information Protocol (RIP) über st0
Richtlinienbasiertes VPN in VR
Grundlegendes zu den Einschränkungen virtueller Router
Wenn Sie VPN auf Firewalls der SRX-Serie konfigurieren, wird die Überlappung von IP-Adressen über virtuelle Router hinweg mit den folgenden Einschränkungen unterstützt:
Eine externe IKE-Schnittstellenadresse darf sich nicht mit einem anderen virtuellen Router überschneiden.
Eine interne oder vertrauenswürdige Schnittstellenadresse kann sich mit jedem anderen virtuellen Router überschneiden.
Eine st0-Schnittstellenadresse darf sich in routenbasiertem VPN in Punkt-zu-Mehrpunkt-Tunneln wie NHTB nicht überlappen.
Eine st0-Schnittstellenadresse kann sich in routenbasiertem VPN in Punkt-zu-Punkt-Tunneln überlappen.
Siehe auch
Beispiel: Konfigurieren einer st0-Schnittstelle in einem virtuellen Router
In diesem Beispiel wird gezeigt, wie eine st0-Schnittstelle in einem virtuellen Router konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen und weisen Sie sie Sicherheitszonen zu. Siehe "Übersicht über Sicherheitszonen".
Überblick
In diesem Beispiel führen Sie die folgenden Vorgänge aus:
Konfigurieren Sie die Schnittstellen.
Konfigurieren Sie IKE-Phase-1-Vorschläge.
Konfigurieren Sie IKE-Richtlinien, und verweisen Sie auf die Vorschläge.
Konfigurieren Sie ein IKE-Gateway, und verweisen Sie auf die Richtlinie.
Konfigurieren Sie Phase-2-Vorschläge.
Konfigurieren Sie Richtlinien, und verweisen Sie auf die Vorschläge.
Konfigurieren Sie AutoKey IKE, und verweisen Sie auf die Richtlinie und das Gateway.
Konfigurieren Sie die Sicherheitsrichtlinie.
Konfigurieren Sie die Routing-Instanz.
Konfigurieren Sie die VPN-Bindung an die Tunnelschnittstelle.
Konfigurieren Sie die Routing-Optionen.
Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie.
In den folgenden Tabellen sind die Konfigurationsparameter aufgeführt.
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
GE-0/0/0.0 |
10.1.1.2/30 |
|
ge-0/0/1.0 |
10.2.2.2/30 |
|
|
ST0.0 (Tunnel-Schnittstelle) |
10.3.3.2/30 |
|
|
Routing-Instanz (virtueller Router) |
VR1 |
ge-0/0/1.0 st0.0 |
|
Statische Routen |
10.6.6.0/24 |
Der nächste Hop ist st0.0. |
|
Sicherheitszonen |
Vertrauen |
|
|
Unglaubwürdigkeit |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
first_ikeprop |
|
|
Richtlinien |
first_ikepol |
|
|
Gateway |
erste |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
first_ipsecprop |
|
|
Richtlinien |
first_ipsecpol |
|
|
VPN |
first_vpn |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30 set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30 set interfaces st0 unit 0 family inet address 10.3.3.2/30 set security zones security-zone trust interfaces ge-0/0/1 set security zones security-zone untrust interfaces ge-0/0/0 set security zones security-zone untrust interfaces st0.0 set security ike proposal first_ikeprop authentication-method pre-shared-keys set security ike proposal first_ikeprop dh-group group2 set security ike proposal first_ikeprop authentication-algorithm md5 set security ike proposal first_ikeprop encryption-algorithm 3des-cbc set security ike policy first_ikepol mode main set security ike policy first_ikepol proposals first_ikeprop set security ike policy first_ikepol pre-shared-key ascii-text "$ABC123" set security ike gateway first ike-policy first_ikepol set security ike gateway first address 10.4.4.2 set security ike gateway first external-interface ge-0/0/0.0 set security ipsec proposal first_ipsecprop protocol esp set security ipsec proposal first_ipsecprop authentication-algorithm hmac-md5-96 set security ipsec proposal first_ipsecprop encryption-algorithm 3des-cbc set security ipsec policy first_ipsecpol perfect-forward-secrecy keys group1 set security ipsec policy first_ipsecpol proposals first_ipsecprop set security ipsec vpn first_vpn bind-interface st0.0 set security ipsec vpn first_vpn ike gateway first set security ipsec vpn first_vpn ike ipsec-policy first_ipsecpol set security ipsec vpn first_vpn establish-tunnels immediately set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security policies from-zone untrust to-zone trust policy p2 match source-address any set security policies from-zone untrust to-zone trust policy p2 match destination-address any set security policies from-zone untrust to-zone trust policy p2 match application any set security policies from-zone untrust to-zone trust policy p2 then permit set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-0/0/1.0 set routing-instances VR1 interface st0.0 set routing-instances VR1 routing-options static route 10.6.6.0/24 next-hop st0.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie einen st0 in einer VR:
Konfigurieren Sie die Schnittstellen.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30 user@host# set interfaces st0 unit 0 family inet address 10.3.3.2/30
-
Konfigurieren Sie Sicherheitszonen.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/1 user@host# set security zones security-zone untrust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces st0.0
Konfigurieren Sie Phase 1 des IPsec-Tunnels.
[edit security ike] user@host# set proposal first_ikeprop authentication-method pre-shared-keys user@host# set proposal first_ikeprop dh-group group2 user@host# set proposal first_ikeprop authentication-algorithm md5 user@host# set proposal first_ikeprop encryption-algorithm 3des-cbc
Konfigurieren Sie die IKE-Richtlinien, und verweisen Sie auf die Vorschläge.
[edit security ike] user@host# set policy first_ikepol mode main user@host# set policy first_ikepol proposals first_ikeprop user@host# set policy first_ikepol pre-shared-key ascii-text "$ABC123"
Konfigurieren Sie das IKE-Gateway, und verweisen Sie auf die Richtlinie.
[edit security ike] user@host# set gateway first ike-policy first_ikepol user@host# set gateway first address 10.4.4.2 user@host# set gateway first external-interface ge-0/0/0.0
Konfigurieren Sie Phase 2 des IPsec-Tunnels.
[edit security ipsec] user@host# set proposal first_ipsecprop protocol esp user@host# set proposal first_ipsecprop authentication-algorithm hmac-md5-96 user@host# set proposal first_ipsecprop encryption-algorithm 3des-cbc
Konfigurieren Sie die Richtlinien, und verweisen Sie auf die Vorschläge.
[edit security ipsec] user@host# set policy first_ipsecpol perfect-forward-secrecy keys group1 user@host# set policy first_ipsecpol proposals first_ipsecprop
Konfigurieren Sie AutoKey IKE, und verweisen Sie auf die Richtlinie und das Gateway.
[edit security ipsec] user@host# set vpn first_vpn ike gateway first user@host# set vpn first_vpn ike ipsec-policy first_ipsecpol user@host# set vpn first_vpn establish-tunnels immediately
Konfigurieren Sie die VPN-Bindung an die Tunnelschnittstelle.
[edit security ipsec] user@host# set vpn first_vpn bind-interface st0.0
Konfigurieren Sie die Sicherheitsrichtlinie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone untrust policy p1 match destination-address any user@host# set from-zone trust to-zone untrust policy p1 match application any user@host# set from-zone trust to-zone untrust policy p1 then permit user@host# set from-zone untrust to-zone trust policy p2 match source-address any user@host# set from-zone untrust to-zone trust policy p2 match destination-address any user@host# set from-zone untrust to-zone trust policy p2 match application any user@host# set from-zone untrust to-zone trust policy p2 then permit
Konfigurieren Sie st0 in der Routinginstanz.
[edit routing-instances] user@host# set VR1 instance-type virtual-router user@host# set VR1 interface ge-0/0/1.0 user@host# set VR1 interface st0.0
Konfigurieren Sie die Routing-Optionen.
[edit routing-instances VR1 routing-options] user@host# set static route 10.6.6.0/24 next-hop st0.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security Befehle und show routing-instances eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security
ike {
proposal first_ikeprop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy first_ikepol {
mode main;
proposals first_ikeprop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway first {
ike-policy first_ikepol;
address 10.4.4.2;
external-interface ge-0/0/0.0;
}
}
ipsec {
proposal first_ipsecprop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy first_ipsecpol {
perfect-forward-secrecy {
keys group1;
}
proposals first_ipsecprop;
}
vpn first_vpn {
bind-interface st0.0;
ike {
gateway first;
ipsec-policy first_ipsecpol;
}
establish-tunnels immediately;
}
}
policies {
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
zones {
security-zone trust {
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0;
st0.0;
}
}
}
user@host# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-0/0/1.0;
interface st0.0;
routing-options {
static {
route 10.6.6.0/24 next-hop st0.0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Verifizieren einer st0-Schnittstelle im virtuellen Router
Zweck
Überprüfen Sie die st0-Schnittstelle im virtuellen Router.
Action!
Geben Sie im Betriebsmodus den show interfaces st0.0 detail Befehl ein. Die für die show route all Routing-Tabelle aufgeführte Nummer entspricht der Reihenfolge, in der die Routing-Tabellen im Befehl aufgeführt sind.