Datenverkehrs-Selektoren in routenbasierten VPNs
Lesen Sie dieses Thema, um mehr über die Datenverkehrsselektoren in routenbasierten IPsec-VPNs und die Konfiguration von Datenverkehrsselektoren in Ihren Firewalls zu erfahren.
Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen VPN-Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur der Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über die zugeordnete Sicherheitszuordnung (SA) zugelassen.
Grundlegendes zu Datenverkehrs-Selektoren in routenbasierten VPNs
Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Mit dieser Funktion können Sie eine Datenverkehrsauswahl innerhalb eines bestimmten routenbasierten VPN definieren, was zu mehreren Phase-2-IPsec-Sicherheitszuordnungen (SAs) führen kann. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über die zugeordnete SA zugelassen.
- Konfiguration der Datenverkehrsauswahl
- Verstehen der automatischen Routeneinfügung
- Verstehen von Datenverkehrs-Selektoren und überlappenden IP-Adressen
Konfiguration der Datenverkehrsauswahl
Um einen Datenverkehrsselektor zu konfigurieren, verwenden Sie die traffic-selector Konfigurationsanweisung auf der Hierarchieebene [edit security ipsec vpn vpn-name]. Der Datenverkehrsselektor wird mit den local-ip ip-address/netmask obligatorischen und-Anweisungen remote-ip ip-address/netmask definiert. Der CLI-Betriebsbefehl show security ipsec security-association detail zeigt Datenverkehrsauswahlinformationen für SAs an. Der show security ipsec security-association traffic-selector traffic-selector-name Befehl CLI zeigt Informationen für einen bestimmten Datenverkehrsselektor an.
Für einen bestimmten Datenverkehrsselektor wird eine einzelne Adresse und Netzmaske für die lokale und die Remote-Adresse angegeben. Datenverkehrs-Selektoren können mit IPv4- oder IPv6-Adressen konfiguriert werden. Adressbücher können nicht zum Angeben von lokalen oder Remoteadressen verwendet werden.
Mehrere Datenverkehrsselektoren können für dasselbe VPN konfiguriert werden. Für jedes VPN können maximal 200 Datenverkehrs-Selektoren konfiguriert werden. Datenverkehrsselektoren können mit IPv4-in-IPv4-, IPv4-in-IPv6-, IPv6-in-IPv6- oder IPv6-in-IPv4-Tunnel-Modi verwendet werden.
Die folgenden Funktionen werden von Datenverkehrsselektoren nicht unterstützt:
-
VPN-Überwachung
-
Unterschiedliche Adressfamilien, die für die lokalen und Remote-IP-Adressen in einem Datenverkehrsselektor konfiguriert sind
-
Eine Remote-Adresse von 0.0.0.0/0 (IPv4) oder 0::0 (IPv6) für Site-to-Site-VPNs
-
Punkt-zu-Mehrpunkt-Schnittstellen
-
Dynamische Routing-Protokolle konfiguriert auf ST0-Schnittstellen
Wenn mehrere Datenverkehrsselektoren für ein routenbasiertes VPN konfiguriert sind, kann Clear Traffic in einen VPN-Tunnel gelangen, ohne dass ein Datenverkehrsselektor übereinstimmt, wenn die externe Schnittstelle des IKE-Gateways auf einen anderen virtuellen Router (VR) verschoben wird. Die Software verarbeitet nicht die zahlreichen asynchronen Schnittstellenereignisse, die generiert werden, wenn eine externe Schnittstelle des IKE-Gateways in eine andere VR verschoben wird. Um dieses Problem zu umgehen, deaktivieren Sie zunächst den IPsec-VPN-Tunnel und bestätigen Sie die Konfiguration ohne diesen Tunnel, bevor Sie die externe Schnittstelle des IKE-Gateways in eine andere VR verschieben.
Sie können mehrere Sätze von lokalem IP-Präfix, Remote-IP-Präfix, Quellportbereich, Zielportbereich und Protokoll für die Datenverkehrsauswahl konfigurieren. Das bedeutet, dass mehrere Sätze von IP-Adressbereichen, Portbereichen und Protokollen Teil desselben Datenverkehrsselektors sein können, wie in RFC 7296 definiert. Wenn Sie mehrere Datenverkehrs-Selektoren konfigurieren, führt jeder Datenverkehrs-Selektor zu einer separaten Aushandlung, die zu mehreren IPsec-Tunneln führt. Wenn Sie jedoch mehrere Begriffe unter einem Datenverkehrsselektor konfigurieren, führt diese Konfiguration zu einer einzigen IPsec-SA-Aushandlung mit mehreren IP-Präfixen, Ports und Protokollen. Siehe Datenverkehrsauswahl.
Informationen zur Unterstützung von Datenverkehrsselektoren im kmd- und ike-Prozess finden Sie in Tabelle 1.
| Komponente | IKEv1 | IKEv2 |
|---|---|---|
| KMD-Prozess | Die Konfiguration der Datenverkehrsauswahl unterstützt Remote-IP und lokale IP. |
Die Konfiguration der Datenverkehrsauswahl unterstützt Remote-IP und lokale IP. |
| IKED-Prozess | Die Konfiguration der Datenverkehrsauswahl unterstützt nur Remote-IP und lokale IP. Die Konfiguration unterstützt keine Protokolle, Ports oder Begriffe innerhalb der Datenverkehrsauswahl. |
Die Konfiguration der Datenverkehrsauswahl unterstützt Remote-IP, lokale IP, Port und Protokoll einschließlich der Begriffe Konfiguration. |
Verstehen der automatischen Routeneinfügung
Die automatische Routeneinfügung (ARI) fügt automatisch eine statische Route für das Remote-Netzwerk und die Hosts ein, die durch ein Remote-Tunnel-Endgerät geschützt sind. Eine Route wird basierend auf der Remote-IP-Adresse erstellt, die im Datenverkehrsselektor konfiguriert ist. Bei Datenverkehrs-Selektoren wird die konfigurierte Remoteadresse als Route in die Routing-Instanz eingefügt, die der an das VPN gebundenen st0-Schnittstelle zugeordnet ist.
Routing-Protokolle und die Konfiguration der Datenverkehrsauswahl schließen sich gegenseitig aus, um den Datenverkehr in einen Tunnel zu lenken. ARI-Routen können mit Routen in Konflikt stehen, die über Routing-Protokolle aufgefüllt werden. Daher sollten Sie keine Routingprotokolle auf einer st0-Schnittstelle konfigurieren, die an ein VPN gebunden ist, auf dem Datenverkehrsselektoren konfiguriert sind.
ARI wird auch als Reverse Route Insertion (RRI) bezeichnet. ARI-Routen werden wie folgt in die Routing-Tabelle eingefügt:
Wenn die
establish-tunnels immediatelyOption auf der Hierarchieebene [edit security ipsec vpn vpn-name] konfiguriert ist, werden ARI-Routen hinzugefügt, nachdem die Verhandlungen in Phase 1 und Phase 2 abgeschlossen sind. Da eine Route erst hinzugefügt wird, wenn SAs eingerichtet wurden, führt eine fehlgeschlagene Aushandlung nicht dazu, dass der Datenverkehr an eine ausgefallene st0-Schnittstelle weitergeleitet wird. Stattdessen wird ein alternativer oder Backup-Tunnel verwendet.Wenn die
establish-tunnels immediatelyOption nicht auf der Hierarchieebene [edit security ipsec vpn vpn-name] konfiguriert ist, werden ARI-Routen beim Konfigurationscommit hinzugefügt.Eine ARI-Route wird nicht hinzugefügt, wenn die konfigurierte oder ausgehandelte Remoteadresse in einem Datenverkehrsselektor 0.0.0.0/0 oder 0::0 ist.
Die Präferenz für die statische ARI-Route ist 5. Dieser Wert ist erforderlich, um Konflikte mit ähnlichen Routen zu vermeiden, die von einem Routingprotokollprozess hinzugefügt werden können.
Die statische ARI-Route kann mithilfe der rib-groups Konfiguration nicht an andere Routing-Instanzen weitergegeben werden. Verwenden Sie die import-policy Konfiguration, um statische ARI-Routen preiszugeben.
Verstehen von Datenverkehrs-Selektoren und überlappenden IP-Adressen
In diesem Abschnitt werden überlappende IP-Adressen in Datenverkehrsauswahlkonfigurationen erläutert.
- Überlappende IP-Adressen in verschiedenen VPNs, die an dieselbe st0-Schnittstelle gebunden sind
- Überlappende IP-Adressen im selben VPN, die an dieselbe st0-Schnittstelle gebunden sind
- Überlappende IP-Adressen in verschiedenen VPNs, die an unterschiedliche ST0-Schnittstellen gebunden sind
Überlappende IP-Adressen in verschiedenen VPNs, die an dieselbe st0-Schnittstelle gebunden sind
Dieses Szenario wird von Datenverkehrsselektoren nicht unterstützt. Datenverkehrsselektoren können nicht auf verschiedenen VPNs konfiguriert werden, die an dieselbe Point-to-Multipoint-st0-Schnittstelle gebunden sind, wie im folgenden Beispiel gezeigt:
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
}
vpn vpn-2 {
bind-interface st0.1;
}
Überlappende IP-Adressen im selben VPN, die an dieselbe st0-Schnittstelle gebunden sind
Wenn überlappende IP-Adressen für mehrere Datenverkehrs-Selektoren im selben VPN konfiguriert sind, bestimmt der erste konfigurierte Datenverkehrs-Selektor, der mit dem Paket übereinstimmt, den für die Paketverschlüsselung verwendeten Tunnel.
Im folgenden Beispiel sind vier Datenverkehrs-Selektoren (ts-1, ts-2, ts-3 und ts-4) für das VPN (vpn-1) konfiguriert, das an die Punkt-zu-Punkt-Schnittstelle st0.1 gebunden ist:
[edit]
user@host# show security ipsec vpn vpn-1
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.5.0/24;
remote-ip 10.1.5.0/24;
}
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.1.0.0/16;
}
traffic-selector ts-3 {
local-ip 172.16.0.0/16;
remote-ip 10.2.0.0/16;
}
traffic-selector ts-4 {
local-ip 172.16.5.0/24;
remote-ip 10.2.5.0/24;
}
}
Ein Paket mit der Quelladresse 192.168.5.5 und der Zieladresse 10.1.5.10 stimmt mit den Datenverkehrsselektoren ts-1 und ts-2 überein. Der Datenverkehrsselektor ts-1 ist jedoch die erste konfigurierte Übereinstimmung, und der mit ts-1 verknüpfte Tunnel wird für die Paketverschlüsselung verwendet.
Ein Paket mit einer Quelladresse 172.16.5.5 und einer Zieladresse 10.2.5.10 stimmt mit den Datenverkehrsselektoren ts-3 und ts-4 überein. Der Datenverkehrsselektor ts-3 ist jedoch die erste konfigurierte Übereinstimmung, und der mit dem Datenverkehrsselektor ts-3 verknüpfte Tunnel wird für die Paketverschlüsselung verwendet.
Überlappende IP-Adressen in verschiedenen VPNs, die an unterschiedliche ST0-Schnittstellen gebunden sind
Wenn überlappende IP-Adressen für mehrere Datenverkehrsselektoren in verschiedenen VPNs konfiguriert werden, die an verschiedene Punkt-zu-Punkt-st0-Schnittstellen gebunden sind, wird eine st0-Schnittstelle zuerst anhand der längsten Präfixübereinstimmung für ein bestimmtes Paket ausgewählt. Innerhalb des VPN, das an die ausgewählte st0-Schnittstelle gebunden ist, wird dann der Datenverkehrsselektor basierend auf der ersten konfigurierten Übereinstimmung für das Paket ausgewählt.
Im folgenden Beispiel wird in jedem der beiden VPNs ein Datenverkehrsselektor konfiguriert. Die Datenverkehrs-Selektoren sind mit demselben lokalen Subnetz, aber unterschiedlichen Remote-Teilnetzen konfiguriert.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.2.2.0/24;
}
}
In jedem Datenverkehrsselektor werden unterschiedliche Remote-Teilnetze konfiguriert, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.
Im folgenden Beispiel wird in jedem der beiden VPNs ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren sind mit verschiedenen Remote-Teilnetzen konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe lokale Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.0.0/8;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.2.2.0/24;
}
}
In jedem Datenverkehrsselektor wird ein anderes Remote-Subnetz konfiguriert, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.
Im folgenden Beispiel werden Datenverkehrsselektoren in jedem von zwei VPNs konfiguriert. Die Datenverkehrs-Selektoren sind mit verschiedenen lokalen und Remote-Teilnetzen konfiguriert.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/24;
remote-ip 10.2.2.0/24;
}
}
In diesem Fall überlappen sich die Datenverkehrsselektoren nicht. Die in den Datenverkehrsselektoren konfigurierten Remote-Teilnetze sind unterschiedlich, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.
Im folgenden Beispiel wird in jedem der beiden VPNs ein Datenverkehrsselektor konfiguriert. Die Datenverkehrs-Selektoren sind mit demselben lokalen Subnetz konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe Remote-Subnetz konfiguriert, aber es werden unterschiedliche Netzmaskenwerte angegeben.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.1.0.0/16;
}
}
Beachten Sie, dass die remote-ip Konfiguration für ts-1 10.1.1.0/24 ist, während die remote-ip Konfiguration für ts-2 10.1.0.0/16 ist. Für ein Paket, das für 10.1.1.1 bestimmt ist, wählt Route Lookup die st0.1-Schnittstelle aus, da sie die längere Präfixübereinstimmung aufweist. Das Paket wird auf der Grundlage des Tunnels verschlüsselt, der der st0.1-Schnittstelle entspricht.
In einigen Fällen können gültige Pakete aufgrund der Durchsetzung des Datenverkehrs verworfen werden. Im folgenden Beispiel werden Datenverkehrsselektoren in jedem von zwei VPNs konfiguriert. Die Datenverkehrsselektoren sind mit verschiedenen lokalen Teilnetzen konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe Remote-Subnetz konfiguriert, aber es werden unterschiedliche Netzmaskenwerte angegeben.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/16;
remote-ip 10.1.0.0/16;
}
}
Zwei Routen zu 10.1.1.0 (10.1.1.0/24 über Schnittstelle st0.1 und 10.1.0.0/16 über Schnittstelle st0.2) werden der Routing-Tabelle hinzugefügt. Ein Paket, das von der Quelle 172.16.1.1 an das Ziel 10.1.1.1 gesendet wird, stimmt mit dem Routing-Tabelleneintrag für 10.1.1.0/24 über die Schnittstelle st0.1 überein. Das Paket stimmt jedoch nicht mit dem Datenverkehr überein, der durch den Datenverkehrsselektor ts-1 angegeben wird, und wird verworfen.
Wenn mehrere Datenverkehrsselektoren mit demselben Remote-Subnetz und derselben Netzmaske konfiguriert sind, werden der Routing-Tabelle Routen zu gleichen Kosten hinzugefügt. Dieser Fall wird bei Datenverkehrsselektoren nicht unterstützt, da die gewählte Route nicht vorhergesagt werden kann.
Siehe auch
Beispiel: Konfigurieren von Datenverkehrsselektoren in einem routenbasierten VPN
In diesem Beispiel wird gezeigt, wie Datenverkehrsselektoren für ein routenbasiertes VPN konfiguriert werden.
Anforderungen
Bevor Sie beginnen,
-
Lesen Sie Grundlegendes zu Datenverkehrsselektoren in routenbasierten VPNs.
-
Installieren Sie das IKE-Paket.
request system software add optional://junos-ike.tgz
Informationen zur Plattformunterstützung für
junos-ikedas Paket finden Sie unter Unterstützung für das Junos-IKE-Paket.
Überblick
In diesem Beispiel werden Datenverkehrsselektoren so konfiguriert, dass der Datenverkehr zwischen Teilnetzen auf SRX_A und Teilnetzen auf SRX_B fließen kann.
Tabelle 2 zeigt die Datenverkehrsselektoren für dieses Beispiel. Datenverkehrsselektoren werden unter Phase 2-Optionen konfiguriert.
SRX_A |
SRX_B |
||||
|---|---|---|---|---|---|
Name der Datenverkehrsauswahl |
Lokale IP |
Remote-IP |
Name der Datenverkehrsauswahl |
Lokale IP |
Remote-IP |
TS1-IPv6 |
2001:DB8:10::0/64 |
2001:db8:20::0/64 |
TS1-IPv6 |
2001:db8:20::0/64 |
2001:DB8:10::0/64 |
TS2-IPv4 |
192.168.10.0/24 |
192.168.0.0/16 |
TS2-IPv4 |
192.168.0.0/16 |
192.168.10.0/24 |
Die flussbasierte Verarbeitung von IPv6-Datenverkehr muss mit der mode flow-based Konfigurationsoption auf der Hierarchieebene [edit security forwarding-options family inet6] aktiviert sein.
Topologie
In Abbildung 1 überträgt ein IPv6-VPN-Tunnel sowohl IPv4- als auch IPv6-Datenverkehr zwischen dem SRX_A und SRX_B Geräten. Das heißt, der Tunnel arbeitet sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnel-Modus.
für die Datenverkehrsauswahl
Konfiguration
Konfiguration SRX_A
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.10.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64 set security ike proposal PSK-DH14-AES256-SHA256 authentication- method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication- algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_A-to-SRX_B ike-policy site-2-site set security ike gateway SRX_A-to-SRX_B address 192.168.20.2 set security ike gateway SRX_A-to-SRX_B external-interface ge-0/0/1.0 set security ike gateway SRX_A-to-SRX_B local-address 192.168.10.1 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication- algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_A-to-SRX_B bind-interface st0.1 set security ipsec vpn SRX_A-to-SRX_B ike ipsec-policy site-2-site set security ipsec vpn SRX_A-to-SRX_B ike gateway SRX_A-to-SRX_B set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN interfaces st0.1 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Datenverkehrsselektoren:
Konfigurieren Sie die externe Schnittstelle.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
Konfigurieren Sie die sichere Tunnel-Schnittstelle.
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Konfigurieren Sie die interne Schnittstelle.
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.10.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_A-to-SRX_B] user@host# set ike-policy site-2-site user@host# set address 192.168.20.2 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.10.1
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_A-to-SRX_B] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_A-to-SRX_B user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 user@host# set traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16
Aktivieren Sie die Flow-basierte IPv6-Weiterleitung.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Konfigurieren Sie Sicherheitszonen und die Sicherheitsrichtlinie.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security ike, , show security ipsec, show security forwarding-optionsund show security zonesshow security policies eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
family inet6 {
address 10::1/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text
"$ABC123"; ## SECRET-DATA
}
gateway SRX_A-to-SRX_B {
ike-policy site-2-site;
address 192.168.20.2;
external-interface ge-0/0/1.0;
local-address 192.168.10.1;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_A-to-SRX_B {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_A-to-SRX_B;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:10::0/64;
remote-ip 2001:db8:20::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.10.0/24;
remote-ip 192.168.0.0/16;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfiguration SRX_B
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 set interfaces ge-1/1/1 unit 0 family inet address 192.168.0.1/24 set security ike proposal PSK-DH14-AES256-SHA256 authentication-method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication-algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_B-to-SRX_A ike-policy site-2-site set security ike gateway SRX_B-to-SRX_A address 192.168.10.1 set security ike gateway SRX_B-to-SRX_A external-interface ge-0/0/1.0 set security ike gateway SRX_B-to-SRX_A local-address 192.168.20.2 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication-algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_B-to-SRX-A bind-interface st0.1 set security ipsec vpn SRX_B-to-SRX-A ike ipsec-policy site-2-site set security ipsec vpn SRX_B-to-SRX-A ike gateway SRX_B-to-SRX_A set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone trust interfaces ge-1/1/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone VPN interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Datenverkehrsselektoren:
Konfigurieren Sie die externe Schnittstelle.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64
Konfigurieren Sie die sichere Tunnel-Schnittstelle.
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Konfigurieren Sie die internen Schnittstellen.
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.20.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 user@host# set ge-1/1/1 unit 0 family inet address 192.168.0.1/24
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_B-to-SRX_A] user@host# set ike-policy site-2-site user@host# set address 192.168.10.1 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.20.2
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_B-to-SRX-A] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_B-to-SRX_A user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 user@host# set traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24
Aktivieren Sie die Flow-basierte IPv6-Weiterleitung.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Konfigurieren Sie Sicherheitszonen und die Sicherheitsrichtlinie.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security ike, , show security ipsec, show security forwarding-optionsund show security zonesshow security policies eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::2/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
family inet6 {
address 2001:db8:20::0/64;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.0.1/24;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway SRX_B-to-SRX_A {
ike-policy site-2-site;
address 192.168.10.1;
external-interface ge-0/0/1.0;
local-address 192.168.20.2;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_B-to-SRX-A {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_B-to-SRX_A;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:20::0/64;
remote-ip 2001:db8:10::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.0.0/16;
remote-ip 192.168.10.0/24;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
ge-1/1/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Die gezeigten Beispielausgaben beziehen sich auf SRX-A.
Überprüfen des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase-2-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein.
user@host> show security ipsec security-associations Total active tunnels: 3 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <268173313 ESP:3des/ sha-256 3d75aeff 2984/ unlim - root 500 2001:db8:2000::2 >268173313 ESP:3des/ sha-256 a468fece 2984/ unlim - root 500 2001:db8:2000::2 <268173316 ESP:3des/ sha-256 417f3cea 3594/ unlim - root 500 2001:db8:2000::2 >268173316 ESP:3des/ sha-256 a4344027 3594/ unlim - root 500 2001:db8:2000::2
Geben Sie im Betriebsmodus den show security ipsec security-associations detail Befehl ein.
user@host> show security ipsec security-associations detail
ID: 268173313 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 2192.168.20.2
Traffic Selector Name: TS1-ipv6
Local Identity: ipv6(2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff)
Remote Identity: ipv6(2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 3d75aeff, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a468fece, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
ID: 268173316 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 192.168.20.2
Traffic Selector Name: TS2-ipv4
Local Identity: ipv4(192.168.10.0-192.168.10.255)
Remote Identity: ipv4(192.168.20.0-192.168.20.255)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 417f3cea, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a4344027, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Der show security ipsec security-associations Befehl listet alle aktiven IKE-Phase-2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für die externe Schnittstelle in Ihrer Konfiguration. Die Parameter des Phase-2-Vorschlags müssen auf den Peer-Geräten übereinstimmen.
Überprüfen von Datenverkehrsselektoren
Zweck
Überprüfen Sie die ausgehandelten Datenverkehrsselektoren auf der sicheren Tunnel-Schnittstelle.
Aktion
Geben Sie im Betriebsmodus den show security ipsec traffic-selector st0.1 Befehl ein.
user@host> show security ipsec traffic-selector st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff 2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff st0.1 268173313 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.0.0-192.168.255.255 st0.1 268173316 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.20.0-192.168.20.255 st0.1 268173317 2001:db8:2000::1
Überprüfen von Routen
Zweck
Überprüfen Sie aktive Routen
Aktion
Geben Sie im Betriebsmodus den show route Befehl ein.
user@host> show route
inet.0: 24 destinations, 24 routes (24 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0/16 *[ARI-TS/5] 00:00:32
> via st0.1
2001:db8:20::0/64 *[ARI-TS/5] 00:00:34
> via st0.1
Bedeutung
Der show route Befehl listet aktive Einträge in den Routing-Tabellen auf. Routen zu der Remote-IP-Adresse, die in jedem Datenverkehrsselektor konfiguriert ist, sollten mit der richtigen st0-Schnittstelle vorhanden sein.
Plattformspezifische ARI für das Verhalten von Datenverkehrsselektoren
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
In der folgenden Tabelle finden Sie Informationen zu plattformspezifischen Verhaltensweisen für Ihre Plattformen.
| Plattform |
Unterschied |
|---|---|
| MX-Serie |
|
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.