Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Datenverkehrs-Selektoren in Routen-basierten VPNs

Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE die Datenverkehr über einen VPN-Tunnel zulassen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remoteadressen entspricht. Nur der Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über die zugehörige Sicherheitszuordnung zulässig.

Verständnis von Datenverkehrs-Selektoren in Routen-basierten VPNs

Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE, um Datenverkehr durch einen Tunnel zu ermöglichen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remote-Adressen entspricht. Mit dieser Funktion können Sie einen Datenverkehrs-Selektor innerhalb eines bestimmten routenbasierten VPN definieren, was zu mehreren Phase-2-IPsec-Sicherheitszuordnungen (SAs) führen kann. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über die zugehörige Sicherheitszuordnung zulässig.

Beginnend mit Junos OS Release 12.1X46-D10 und Junos OS Release 17.3R1 können Datenverkehrs-Selektoren mit Site-to-Site-VPNs von IKEv1 konfiguriert werden. Beginnend mit Junos OS Release 15.1X49-D100 können Datenverkehrs-Selektoren mit IKEv2 Site-to-Site-VPNs konfiguriert werden.

Datenverkehrs-Selektorkonfiguration

Verwenden Sie die Konfigurationserklärung auf der [ ] Hierarchieebene, um einen Datenverkehrs-Selektor traffic-selectoredit security ipsec vpn vpn-name zu konfigurieren. Die Datenverkehrs-Selektor wird mit der Pflicht und den local-ip ip-address/netmask Anweisungen remote-ip ip-address/netmask definiert. Der CLI-Befehl show security ipsec security-association detail zeigt Informationen zur Datenverkehrs-Selektor für SAs an. Der show security ipsec security-association traffic-selector traffic-selector-name CLI-Befehl zeigt Informationen für eine bestimmte Datenverkehrs-Selektor an.

Für einen bestimmten Datenverkehrs-Selektor werden eine einzige Adresse und ein Netmask für die lokalen und Remote-Adressen festgelegt. Datenverkehrs-Selektoren können mit IPv4- oder IPv6-Adressen konfiguriert werden. Adressbücher können nicht zur Spezifizierung lokaler oder Remoteadressen verwendet werden.

Mehrere Datenverkehrs-Selektoren können für dasselbe VPN konfiguriert werden. Pro VPN können maximal 200 Datenverkehrs-Selektoren konfiguriert werden. Datenverkehrs-Selektoren können mit den Tunnelmodi IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 oder IPv6-in-IPv4 verwendet werden.

Die folgenden Funktionen werden von Datenverkehrs-Selektoren nicht unterstützt:

  • VPN-Überwachung

  • Verschiedene Adressfamilien, die für lokale und Remote-IP-Adressen in einem Datenverkehrs-Selektor konfiguriert sind

  • Eine Remote-Adresse mit 0.0.0.0/0 (IPv4) oder 0::0 (IPv6) für Site-to-Site-VPNs

    Beginnend mit Junos OS Release 15.1X49-D140, auf allen Geräten der SRX-Serie und vSRX-Instanzen, wenn Sie den Datenverkehrs-Selektor mit einer Remote-Adresse von 0:0 konfigurieren (IPv6) wird bei der Durchführung des Commit die folgende Meldung angezeigt, “error: configuration check-out failed” und der Konfigurations-Checkout schlägt fehl.

  • Point-to-Multipoint-Schnittstellen

  • Dynamische Routing-Protokolle, die auf St0-Schnittstellen konfiguriert sind

Wenn mehrere Datenverkehrs-Selektoren für ein routenbasiertes VPN konfiguriert sind, kann clear Traffic einen VPN-Tunnel eingeben, ohne einen Datenverkehrs-Selektor zu überordnen, wenn die externe Schnittstelle des IKE-Gateways zu einem anderen virtuellen Router (VR) verschoben wird. Die Software verarbeitet nicht die zahlreichen asynchronen Schnittstellenereignisse, die entstehen, wenn ein gateway IKE externe Schnittstelle in eine andere VR verschoben wird. Als Umgehungslösung deaktivieren Sie zuerst den IPsec-VPN-Tunnel und commiten Sie die Konfiguration ohne diesen Tunnel, bevor das IKE-Gateway auf eine andere VR übertragen wird.

Verständnis der automatischen Routen-Einfügung

Automatische Routenfügung (AUTO Route Insertion, ARI) fügt automatisch eine statische Route für das Remotenetzwerk ein und unterstützt Hosts, die von einem Remote-Tunnel-Endgerät geschützt werden. Es wird eine Route basierend auf der im Datenverkehrs-Selektor konfigurierten Remote-IP-Adresse erstellt. Bei Datenverkehrs-Selektoren wird die konfigurierte Remoteadresse in die Routinginstanz eingefügt, die der st0-Schnittstelle zugeordnet ist, die an das VPN gebunden ist.

Routing-Protokolle und die Konfiguration von Datenverkehrs-Selektoren sind gegenseitig exklusive Möglichkeiten, den Datenverkehr zu einem Tunnel zu lenken. ARI-Routen können im Konflikt mit Routen stehen, die über Routingprotokolle gefüllt werden. Daher sollten Sie die Routing-Protokolle nicht an einer st0-Schnittstelle konfigurieren, die an ein VPN gebunden ist, an dem Datenverkehrs-Selektoren konfiguriert sind.

ARI wird auch als Reverse Route Insertion (RRI) bekannt. ARI-Routen werden wie folgt in die Routing-Tabelle eingefügt:

  • Wenn die Option auf der [ ] Hierarchieebene konfiguriert ist, werden ARI-Routen nach den Aus verhandlungen über Phase 1 und establish-tunnels immediatelyedit security ipsec vpn vpn-name 2 hinzugefügt. Da eine Route erst hinzugefügt wird, wenn die Netzwerksicherheits-AAs eingerichtet wurden, führt eine fehlgeschlagene Aushandlung nicht dazu, dass der Datenverkehr an eine ausgefallene St0-Schnittstelle geroutet wird. Stattdessen wird ein alternativer oder Backup-Tunnel verwendet.

  • Wenn die Option nicht auf der [ ] Hierarchieebene konfiguriert ist, werden establish-tunnels immediatelyedit security ipsec vpn vpn-name ARI-Routen im Konfigurations-Commit hinzugefügt.

  • Wenn die konfigurierte oder ausgehandelte Remoteadresse in einem Datenverkehrs-Selektor 0.0.0.0/0 oder 0:0 ist, wird keine ARI-Route hinzugefügt.

Die Präferenz für die statische ARI-Route ist 5. Dieser Wert ist notwendig, um Konflikte mit ähnlichen Routen zu vermeiden, die durch einen Routingprotokollprozess hinzugefügt werden können. Die Metrik für die statische ARI-Route ist nicht konfiguriert.

Die statische ARI-Route kann nicht mithilfe der Konfiguration an andere Routinginstanzen rib-groups geleckt werden. Verwenden Sie die import-policy Konfiguration zum Leck statischer ARI-Routen.

Verständnis von Datenverkehrs-Selektoren und überlappenden IP-Adressen

In diesem Abschnitt werden überlappende IP-Adressen in Datenverkehrs-Selektorkonfigurationen erörtert.

Überlappende IP-Adressen in verschiedenen VPNs, die an die gleiche St0-Schnittstelle gebunden sind

Dieses Szenario wird von Datenverkehrs-Selektoren nicht unterstützt. Datenverkehrs-Selektoren können nicht auf verschiedenen VPNs konfiguriert werden, die an die gleiche Point-to-Multipoint St0-Schnittstelle gebunden sind, wie in folgendem Beispiel dargestellt:

Überlappende IP-Adressen in derselben VPN-Schnittstelle

Wenn überlappende IP-Adressen für mehrere Datenverkehrs-Selektoren im selben VPN konfiguriert werden, bestimmt der erste konfigurierte Datenverkehrs-Selektor, der dem Paket entspricht, den für die Paketverschlüsselung verwendeten Tunnel.

Im folgenden Beispiel sind vier Datenverkehrs-Selektoren (ts-1, ts-2, ts-3 und ts-4) für das VPN (vpn-1) konfiguriert, das an die Point-to-Point St0.1-Schnittstelle gebunden ist:

Ein Paket mit einer Quelladresse 192.168.5.5 und einer Zieladresse 10.1.5.10 entspricht Datenverkehrs-Selektoren ts-1 und ts-2. Die Datenverkehrs-Selektor ts-1 ist jedoch die erste konfigurierte Übereinstimmung und der mit ts-1 verbundene Tunnel wird zur Paketverschlüsselung verwendet.

Ein Paket mit einer Quelladresse 172.16.5.5 und einer Zieladresse 10.2.5.10 entspricht den Datenverkehrs-Selektoren ts-3 und ts-4. Die Datenverkehrs-Selektor ts-3 ist jedoch die erste konfigurierte Übereinstimmung und der Tunnel, der mit Datenverkehrs-Selektor ts-3 verknüpft ist, wird für die Paketverschlüsselung verwendet.

Überlappende IP-Adressen in verschiedenen VPNs, die an verschiedene St0-Schnittstellen gebunden sind

Wenn überlappende IP-Adressen für mehrere Datenverkehrs-Selektoren in verschiedenen VPNs konfiguriert werden, die an verschiedene Point-to-Point-St0-Schnittstellen gebunden sind, wird eine ST0-Schnittstelle zuerst durch die längste Präfixüberschneidung eines bestimmten Pakets ausgewählt. Innerhalb des VPNs, das an die ausgewählte ST0-Schnittstelle gebunden ist, wird der Datenverkehrs-Selektor basierend auf der ersten konfigurierten Übereinstimmung für das Paket ausgewählt.

Im folgenden Beispiel wird in jedem der beiden VPNs ein Datenverkehrs-Selektor konfiguriert. Die Datenverkehrs-Selektoren sind mit dem gleichen lokalen Subnetzwerk aber mit anderen Remote-Subnetzen konfiguriert.

Da jede Datenverkehrs-Selektor unterschiedliche Remote-Subnetze verwendet, werden der Routingtabelle zwei unterschiedliche Routen hinzugefügt. Die Routensuche verwendet die st0-Schnittstelle, die an das entsprechende VPN gebunden ist.

Im folgenden Beispiel wird in jedem der beiden VPNs ein Datenverkehrs-Selektor konfiguriert. Die Datenverkehrs-Selektoren werden mit verschiedenen Remote-Subnetzen konfiguriert. Für jeden Datenverkehrs-Selektor wird dasselbe lokale Subnetz konfiguriert, aber es werden unterschiedliche Netmask-Werte angegeben.

Da in jedem Datenverkehrs-Selektor ein anderes Remote-Subnetz konfiguriert wird, werden der Routingtabelle zwei unterschiedliche Routen hinzugefügt. Die Routensuche verwendet die st0-Schnittstelle, die an das entsprechende VPN gebunden ist.

Im folgenden Beispiel werden Datenverkehrs-Selektoren in jedem von zwei VPNs konfiguriert. Die Datenverkehrs-Selektoren werden mit verschiedenen lokalen und Remote-Subnetzen konfiguriert.

In diesem Fall überschneiden sich die Datenverkehrs-Selektoren nicht. Die von den Datenverkehrs-Selektoren konfigurierten Remote-Subnetze unterscheiden sich. Daher werden der Routingtabelle zwei unterschiedliche Routen hinzugefügt. Die Routensuche verwendet die st0-Schnittstelle, die an das entsprechende VPN gebunden ist.

Im folgenden Beispiel wird in jedem der beiden VPNs ein Datenverkehrs-Selektor konfiguriert. Die Datenverkehrs-Selektoren sind mit dem gleichen lokalen Subnetzwerk konfiguriert. Dasselbe Remote-Subnetz wird für jeden Datenverkehrs-Selektor konfiguriert, aber es werden unterschiedliche Netmask-Werte angegeben.

Beachten Sie, dass die konfiguration für remote-ip ts-1 1 10.1.1.0/24 und die Konfiguration für remote-ip ts-2 10.1.0.0/16 ist. Für ein Paket, das für 10.1.1.1 bestimmt ist, wählt die Routensuche die St0.1-Schnittstelle, da diese die längere Prefix-Übereinstimmung auf dem Paket besitzt. Das Paket wird auf der Basis des Tunnels verschlüsselt, der der st0.1-Schnittstelle entspricht.

In einigen Fällen können durch die Durchsetzung des Datenverkehrs-Selektordatenverkehrs gültige Pakete verworfen werden. Im folgenden Beispiel werden Datenverkehrs-Selektoren in jedem von zwei VPNs konfiguriert. Die Datenverkehrs-Selektoren werden mit verschiedenen lokalen Subnetzen konfiguriert. Dasselbe Remote-Subnetz wird für jeden Datenverkehrs-Selektor konfiguriert, aber es werden unterschiedliche Netmask-Werte angegeben.

Der Routingtabelle werden zwei Routen zu 10.1.1.0 (10.1.0/24 über Schnittstelle st0.1 und 10.1.0.0/16 über Schnittstelle st0.2) hinzugefügt. Ein Paket, das von Quelle 172.16.1.1 an Ziel 10.1.1.1 gesendet wird, entspricht dem Eintrag in der Routingtabelle für 10.1.1.0/24 über die Schnittstelle st0.1. Das Paket ist jedoch nicht mit dem Datenverkehr übereinstimmen, der von Datenverkehrs-Selektor ts-1 angegeben ist und verworfen wird.

Wenn mehrere Datenverkehrs-Selektoren mit demselben Remote-Subnetz und demselben Netmask konfiguriert sind, werden Routen zu gleichen Kosten der Routingtabelle hinzugefügt. Da die gewählte Route nicht vorhergesagt werden kann, wird dieser Fall von Datenverkehrs-Selektoren nicht unterstützt.

Beispiel: Konfigurieren von Datenverkehrs-Selektoren in einem Routen-basierten VPN

In diesem Beispiel wird gezeigt, wie Datenverkehrs-Selektoren für ein routenbasiertes VPN konfiguriert werden.

Überblick

In diesem Beispiel werden Datenverkehrs-Selektoren so konfiguriert, dass der Datenverkehr zwischen Subnetzen auf Netzwerk SRX_A Subnetzwerken auf Netzwerk SRX_B.

Tabelle 1 zeigt die Datenverkehrs-Selektoren für dieses Beispiel an. Datenverkehrs-Selektoren werden unter den Optionen für Phase 2 konfiguriert.

Tabelle 1: Datenverkehrs-Selektorkonfigurationen

SRX_A

SRX_B

Datenverkehrs-Selektor-Name

Lokale IP-Adresse

Remote-IP

Datenverkehrs-Selektor-Name

Lokale IP-Adresse

Remote-IP

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

Die datenstrombasierte Verarbeitung von IPv6-Datenverkehr muss mit der Konfigurationsoption mode flow-based auf der [ ] edit security forwarding-options family inet6 Hierarchieebene aktiviert werden.

Topologie

In transportiert ein IPv6-VPN-Tunnel sowohl IPv4- als auch IPv6-Datenverkehr zwischen den beiden Abbildung 1 SRX_A- SRX_B Geräten. Das heißt, der Tunnel wird sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnelmodus betrieben.

Abbildung 1: Konfigurationsbeispiel Datenverkehrs-SelektorKonfigurationsbeispiel Datenverkehrs-Selektor

Konfiguration

Konfiguration SRX_A

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie Datenverkehrs-Selektoren:

  1. Konfigurieren Sie die externe Schnittstelle.

  2. Konfigurieren Sie die sichere Tunnelschnittstelle.

  3. Konfigurieren Sie die interne Schnittstelle.

  4. Konfiguration der Phase 1-Optionen

  5. Konfiguration der Phase 2-Optionen

  6. Ermöglichen Sie eine datenstrombasierte IPv6-Weiterleitung.

  7. Konfigurieren Sie Sicherheitszonen und Sicherheitsrichtlinien.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , und Befehle show security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration SRX_B

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie Datenverkehrs-Selektoren:

  1. Konfigurieren Sie die externe Schnittstelle.

  2. Konfigurieren Sie die sichere Tunnelschnittstelle.

  3. Konfigurieren Sie die internen Schnittstellen.

  4. Konfiguration der Phase 1-Optionen

  5. Konfiguration der Phase 2-Optionen

  6. Ermöglichen Sie eine datenstrombasierte IPv6-Weiterleitung.

  7. Konfigurieren Sie Sicherheitszonen und Sicherheitsrichtlinien.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , und Befehle show security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Die dargestellten Beispielausgänge sind auf SRX-A dargestellt.

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen des IPsec-Phase-2-Status

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec security-associations ein.

Geben Sie im Betriebsmodus den Befehl show security ipsec security-associations detail ein.

Bedeutung

Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie die IKE und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter für Phase 2 müssen auf den Peer-Geräten übereinstimmen.

Datenverkehrs-Selektoren verifizieren

Zweck

Überprüfen sie ausgehandelte Datenverkehrs-Selektoren auf der sicheren Tunnelschnittstelle.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec traffic-selector st0.1 ein.

Routen verifizieren

Zweck

Aktive Routen überprüfen

Aktion

Geben Sie im Betriebsmodus den Befehl show route ein.

Bedeutung

Der show route Befehl führt aktive Einträge in den Routing-Tabellen auf. Routen zu der in jedem Datenverkehrs-Selektor konfigurierten Remote-IP-Adresse sollten mit der richtigen st0-Schnittstelle vorhanden sein.

Release-Verlaufstabelle
Release
Beschreibung
15.1X49-D140
Beginnend mit Junos OS Release 15.1X49-D140, auf allen Geräten der SRX-Serie und vSRX-Instanzen, wenn Sie den Datenverkehrs-Selektor mit einer Remote-Adresse von 0:0 konfigurieren (IPv6) wird bei der Durchführung des Commit die folgende Meldung angezeigt, “error: configuration check-out failed” und der Konfigurations-Checkout schlägt fehl.
15.1X49-D100
Beginnend mit Junos OS Release 15.1X49-D100 können Datenverkehrs-Selektoren mit IKEv2 Site-to-Site-VPNs konfiguriert werden.
12.1X46-D10
Beginnend mit Junos OS Release 12.1X46-D10 und Junos OS Release 17.3R1 können Datenverkehrs-Selektoren mit Site-to-Site-VPNs von IKEv1 konfiguriert werden.