Traffic-Selektoren in routenbasierten VPNs
Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen VPN-Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur der Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über die zugeordnete Sicherheitszuordnung (Security Association, SA) zugelassen.
Grundlegendes zu Datenverkehrsselektoren in routenbasierten VPNs
Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Mit dieser Funktion können Sie einen Datenverkehrsselektor innerhalb eines bestimmten routenbasierten VPN definieren, was zu mehreren IPsec-Sicherheitszuordnungen (SAs) der Phase 2 führen kann. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über die zugeordnete Sicherheitszuordnung zugelassen.
Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 können Datenverkehrsselektoren mit IKEv1 Site-to-Site-VPNs konfiguriert werden. Ab Junos OS Version 15.1X49-D100 können Datenverkehrsselektoren mit IKEv2 Site-to-Site-VPNs konfiguriert werden.
- Konfiguration der Datenverkehrsauswahl
- Grundlegendes zum Einfügen automatischer Routen
- Grundlegendes zu Datenverkehrsselektoren und überlappenden IP-Adressen
Konfiguration der Datenverkehrsauswahl
Um einen Datenverkehrsselektor zu konfigurieren, verwenden Sie die Konfigurationsanweisung auf der Hierarchieebene [].traffic-selector
edit security ipsec vpn vpn-name
Der Traffic-Selektor wird mit den Anweisungen mandatory und definiert.local-ip ip-address/netmask
remote-ip ip-address/netmask
Der CLI-Betriebsbefehl zeigt Informationen zur Datenverkehrsauswahl für Sicherheitszuordnungen an.show security ipsec security-association detail
Der CLI-Befehl zeigt Informationen für einen angegebenen Datenverkehrsselektor an.show security ipsec security-association traffic-selector traffic-selector-name
Für einen bestimmten Datenverkehrsselektor wird eine einzelne Adresse und Netzmaske für die lokale und die Remote-Adresse angegeben. Datenverkehrsselektoren können mit IPv4- oder IPv6-Adressen konfiguriert werden. Adressbücher können nicht zum Angeben von lokalen oder Remoteadressen verwendet werden.
Für dasselbe VPN können mehrere Datenverkehrsselektoren konfiguriert werden. Für jedes VPN können maximal 200 Datenverkehrsselektoren konfiguriert werden. Datenverkehrsselektoren können mit den Tunnelmodi IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 oder IPv6-in-IPv4 verwendet werden.
Die folgenden Funktionen werden von Datenverkehrsselektoren nicht unterstützt:
VPN-Überwachung
Unterschiedliche Adressfamilien, die für die lokalen und Remote-IP-Adressen in einer Datenverkehrsauswahl konfiguriert sind
Eine Remoteadresse von 0.0.0.0/0 (IPv4) oder 0::0 (IPv6) für Site-to-Site-VPNs
Ab Junos OS Version 15.1X49-D140 wird auf allen Firewalls der SRX-Serie und vSRX Virtual Firewall-Instanzen die folgende Meldung angezeigt, wenn Sie die Datenverkehrsauswahl mit der Remote-Adresse 0::0 (IPv6) konfigurieren, wenn der Commit ausgeführt wird und das Auschecken der Konfiguration fehlschlägt.“error: configuration check-out failed”
Punkt-zu-Mehrpunkt-Schnittstellen
Dynamische Routing-Protokolle, die auf st0-Schnittstellen konfiguriert sind
Wenn mehrere Datenverkehrsselektoren für ein routenbasiertes VPN konfiguriert sind, kann freier Datenverkehr in einen VPN-Tunnel gelangen, ohne dass ein Datenverkehrsselektor übereinstimmt, wenn die externe Schnittstelle des IKE-Gateways auf einen anderen virtuellen Router (VR) verschoben wird. Die Software verarbeitet nicht die zahlreichen asynchronen Schnittstellenereignisse, die generiert werden, wenn eine externe IKE-Gateway-Schnittstelle in eine andere VR verschoben wird. Um dieses Problem zu umgehen, deaktivieren Sie zuerst den IPsec-VPN-Tunnel und bestätigen Sie die Konfiguration ohne diesen Tunnel, bevor Sie die externe Schnittstelle des IKE-Gateways in eine andere VR verschieben.
Ab Junos OS Version 21.1R1 können Sie mehrere Sätze von lokalen IP-Präfixen, Remote-IP-Präfixen, Quellportbereichen, Zielportbereichen und Protokollen für die Datenverkehrsauswahl konfigurieren. Dies bedeutet, dass mehrere Sätze von IP-Adressbereichen, Portbereichen und Protokollen Teil desselben Datenverkehrsselektors sein können, wie in RFC 7296 definiert. Wenn Sie mehrere Datenverkehrsselektoren konfigurieren, führt jeder Datenverkehrsselektor zu einer separaten Aushandlung, die zu mehreren IPsec-Tunneln führt. Wenn Sie jedoch mehrere Begriffe unter einem Datenverkehrsselektor konfigurieren, führt diese Konfiguration zu einer einzigen IPsec-SA-Aushandlung mit mehreren IP-Präfixen, Ports und Protokollen. Weitere Informationen finden Sie unter Traffic Selector.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/traffic-selector-edit-security.html
Grundlegendes zum Einfügen automatischer Routen
Auto Route Insertion (ARI) fügt automatisch eine statische Route für das Remote-Netzwerk und die Hosts ein, die durch einen Remote-Tunnelendpunkt geschützt sind. Eine Route wird basierend auf der Remote-IP-Adresse erstellt, die in der Datenverkehrsauswahl konfiguriert ist. Bei Datenverkehrsselektoren wird die konfigurierte Remote-Adresse als Route in die Routinginstanz eingefügt, die der st0-Schnittstelle zugeordnet ist, die an das VPN gebunden ist.
Routing-Protokolle und die Konfiguration der Datenverkehrsauswahl schließen sich gegenseitig aus, um den Datenverkehr in einen Tunnel zu lenken. ARI-Routen können mit Routen in Konflikt geraten, die über Routing-Protokolle aufgefüllt werden. Daher sollten Sie keine Routingprotokolle auf einer st0-Schnittstelle konfigurieren, die an ein VPN gebunden ist, auf dem Datenverkehrsselektoren konfiguriert sind.
ARI wird auch als Reverse Route Insertion (RRI) bezeichnet. ARI-Routen werden wie folgt in die Routing-Tabelle eingefügt:
Wenn die Option auf der Hierarchieebene [] konfiguriert ist, werden ARI-Routen hinzugefügt, nachdem die Verhandlungen zwischen Phase 1 und Phase 2 abgeschlossen sind.
establish-tunnels immediately
edit security ipsec vpn vpn-name
Da eine Route erst hinzugefügt wird, wenn Sicherheitszuordnungen eingerichtet sind, führt eine fehlgeschlagene Aushandlung nicht dazu, dass der Datenverkehr an eine st0-Schnittstelle weitergeleitet wird, die ausgefallen ist. Stattdessen wird ein alternativer oder Backup-Tunnel verwendet.Wenn die Option nicht auf der Hierarchieebene [] konfiguriert ist, werden ARI-Routen beim Konfigurations-Commit hinzugefügt.
establish-tunnels immediately
edit security ipsec vpn vpn-name
Eine ARI-Route wird nicht hinzugefügt, wenn die konfigurierte oder ausgehandelte Remoteadresse in einer Datenverkehrsauswahl 0.0.0.0/0 oder 0::0 ist.
Die Präferenz für die statische ARI-Route ist 5. Dieser Wert ist erforderlich, um Konflikte mit ähnlichen Routen zu vermeiden, die von einem Routingprotokollprozess hinzugefügt werden können. Es gibt keine Konfiguration der Metrik für die statische ARI-Route.
Die statische ARI-Route kann mithilfe der Konfiguration nicht an andere Routing-Instanzen weitergegeben werden.rib-groups
Verwenden Sie die Konfiguration, um statische ARI-Routen zu verlieren.import-policy
Grundlegendes zu Datenverkehrsselektoren und überlappenden IP-Adressen
In diesem Abschnitt werden überlappende IP-Adressen in Datenverkehrsauswahlkonfigurationen erläutert.
- Überlappende IP-Adressen in verschiedenen VPNs, die an dieselbe st0-Schnittstelle gebunden sind
- Überlappende IP-Adressen im selben VPN, die an dieselbe st0-Schnittstelle gebunden sind
- Überlappende IP-Adressen in verschiedenen VPNs, die an unterschiedliche st0-Schnittstellen gebunden sind
Überlappende IP-Adressen in verschiedenen VPNs, die an dieselbe st0-Schnittstelle gebunden sind
Dieses Szenario wird mit Datenverkehrsselektoren nicht unterstützt. Datenverkehrsselektoren können nicht auf verschiedenen VPNs konfiguriert werden, die an dieselbe Punkt-zu-Mehrpunkt-ST0-Schnittstelle gebunden sind, wie im folgenden Beispiel gezeigt:
[edit] user@host# show security ipsec vpn vpn-1 { bind-interface st0.1; } vpn vpn-2 { bind-interface st0.1; }
Überlappende IP-Adressen im selben VPN, die an dieselbe st0-Schnittstelle gebunden sind
Wenn überlappende IP-Adressen für mehrere Datenverkehrsselektoren im selben VPN konfiguriert werden, bestimmt der erste konfigurierte Datenverkehrsselektor, der dem Paket entspricht, den Tunnel, der für die Paketverschlüsselung verwendet wird.
Im folgenden Beispiel sind vier Datenverkehrsselektoren (ts-1, ts-2, ts-3 und ts-4) für das VPN (vpn-1) konfiguriert, das an die Punkt-zu-Punkt-Schnittstelle st0.1 gebunden ist:
[edit] user@host# show security ipsec vpn vpn-1 vpn vpn-1 { bind-interface st0.1; traffic-selector ts-1 { local-ip 192.168.5.0/24; remote-ip 10.1.5.0/24; } traffic-selector ts-2 { local-ip 192.168.0.0/16; remote-ip 10.1.0.0/16; } traffic-selector ts-3 { local-ip 172.16.0.0/16; remote-ip 10.2.0.0/16; } traffic-selector ts-4 { local-ip 172.16.5.0/24; remote-ip 10.2.5.0/24; } }
Ein Paket mit der Quelladresse 192.168.5.5 und der Zieladresse 10.1.5.10 stimmt mit den Datenverkehrsselektoren ts-1 und ts-2 überein. Der Datenverkehrsselektor ts-1 ist jedoch die erste konfigurierte Übereinstimmung, und der mit ts-1 verknüpfte Tunnel wird für die Paketverschlüsselung verwendet.
Ein Paket mit der Quelladresse 172.16.5.5 und der Zieladresse 10.2.5.10 stimmt mit den Datenverkehrsselektoren ts-3 und ts-4 überein. Der Datenverkehrsselektor ts-3 ist jedoch die erste konfigurierte Übereinstimmung, und der Tunnel, der dem Datenverkehrsselektor ts-3 zugeordnet ist, wird für die Paketverschlüsselung verwendet.
Überlappende IP-Adressen in verschiedenen VPNs, die an unterschiedliche st0-Schnittstellen gebunden sind
Wenn überlappende IP-Adressen für mehrere Datenverkehrsselektoren in verschiedenen VPNs konfiguriert werden, die an verschiedene Punkt-zu-Punkt-st0-Schnittstellen gebunden sind, wird eine st0-Schnittstelle zuerst anhand der längsten Präfixübereinstimmung für ein bestimmtes Paket ausgewählt. Innerhalb des VPNs, das an die ausgewählte st0-Schnittstelle gebunden ist, wird dann der Datenverkehrsselektor basierend auf der ersten konfigurierten Übereinstimmung für das Paket ausgewählt.
Im folgenden Beispiel wird in zwei VPNs jeweils ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren werden mit demselben lokalen Teilnetz, aber unterschiedlichen Remote-Teilnetzen konfiguriert.
[edit] user@host# show security ipsec vpn vpn-1 { bind-interface st0.1; traffic-selector ts-1 { local-ip 192.168.1.0/24; remote-ip 10.1.1.0/24; } } vpn vpn-2 { bind-interface st0.2; traffic-selector ts-2 { local-ip 192.168.1.0/24; remote-ip 10.2.2.0/24; } }
In jeder Datenverkehrsauswahl werden unterschiedliche Remote-Subnetze konfiguriert, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.
Im folgenden Beispiel wird in zwei VPNs jeweils ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren werden mit unterschiedlichen Remote-Subnetzen konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe lokale Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.
[edit] user@host# show security ipsec vpn vpn-1 { bind-interface st0.1; traffic-selector ts-1 { local-ip 192.168.0.0/8; remote-ip 10.1.1.0/24; } } vpn vpn-2 { bind-interface st0.2; traffic-selector ts-2 { local-ip 192.168.0.0/16; remote-ip 10.2.2.0/24; } }
In jedem Datenverkehrsselektor wird ein anderes Remote-Subnetzwerk konfiguriert, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.
Im folgenden Beispiel werden Datenverkehrsselektoren in jedem der beiden VPNs konfiguriert. Die Datenverkehrsselektoren werden mit unterschiedlichen lokalen und Remote-Subnetzen konfiguriert.
[edit] user@host# show security ipsec vpn vpn-1 { bind-interface st0.1; traffic-selector ts-1 { local-ip 192.168.1.0/24; remote-ip 10.1.1.0/24; } } vpn vpn-2 { bind-interface st0.2; traffic-selector ts-2 { local-ip 172.16.1.0/24; remote-ip 10.2.2.0/24; } }
In diesem Fall überlappen sich die Traffic-Selektoren nicht. Die in den Datenverkehrsselektoren konfigurierten Remote-Subnetze sind unterschiedlich, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.
Im folgenden Beispiel wird in zwei VPNs jeweils ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren werden mit demselben lokalen Subnetz konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe Remote-Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.
[edit] user@host# show security ipsec vpn vpn-1 { bind-interface st0.1; traffic-selector ts-1 { local-ip 192.168.1.0/24; remote-ip 10.1.1.0/24; } } vpn vpn-2 { bind-interface st0.2; traffic-selector ts-2 { local-ip 192.168.1.0/24; remote-ip 10.1.0.0/16; } }
Beachten Sie, dass für ts-1 10.1.1.0/24 konfiguriert ist, während für ts-2 10.1.0.0/16 konfiguriert ist.remote-ip
remote-ip
Für ein Paket, das für 10.1.1.1 bestimmt ist, wählt die Routensuche die st0.1-Schnittstelle aus, da sie die längere Präfixübereinstimmung aufweist. Das Paket wird basierend auf dem Tunnel verschlüsselt, der der st0.1-Schnittstelle entspricht.
In einigen Fällen können gültige Pakete aufgrund der Verkehrserzwingung der Datenverkehrsauswahl verworfen werden. Im folgenden Beispiel werden Datenverkehrsselektoren in jedem der beiden VPNs konfiguriert. Die Datenverkehrsselektoren werden mit unterschiedlichen lokalen Subnetzen konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe Remote-Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.
[edit] user@host# show security ipsec vpn vpn-1 { bind-interface st0.1; traffic-selector ts-1 { local-ip 192.168.1.0/24; remote-ip 10.1.1.0/24; } } vpn vpn-2 { bind-interface st0.2; traffic-selector ts-2 { local-ip 172.16.1.0/16; remote-ip 10.1.0.0/16; } }
Der Routing-Tabelle werden zwei Routen zu 10.1.1.0 (10.1.1.0/24 über die Schnittstelle st0.1 und 10.1.0.0/16 über die Schnittstelle st0.2) hinzugefügt. Ein Paket, das von Quelle 172.16.1.1 an Ziel 10.1.1.1 gesendet wird, stimmt mit dem Routing-Tabelleneintrag für 10.1.1.0/24 über die Schnittstelle st0.1 überein. Das Paket stimmt jedoch nicht mit dem Datenverkehr überein, der durch den Datenverkehrsselektor ts-1 angegeben wird, und wird verworfen.
Wenn mehrere Datenverkehrsselektoren mit demselben Remote-Subnetz und derselben gleichen Netzmaske konfiguriert sind, werden der Routing-Tabelle Routen mit gleichen Kosten hinzugefügt. Dieser Fall wird mit Verkehrsselektoren nicht unterstützt, da die gewählte Route nicht vorhergesagt werden kann.
Siehe auch
Beispiel: Konfigurieren von Datenverkehrsselektoren in einem routenbasierten VPN
In diesem Beispiel wird gezeigt, wie Datenverkehrsselektoren für ein routenbasiertes VPN konfiguriert werden.
Anforderungen
Bevor Sie beginnen,
-
Weitere Informationen finden Sie unter Grundlegendes zu Traffic-Selektoren in routenbasierten VPNs.Grundlegendes zu Datenverkehrsselektoren in routenbasierten VPNs
-
Installieren Sie das IKE-Paket.
user@host> request system software add optional://junos-ike.tgz
Überblick
In diesem Beispiel werden Datenverkehrsselektoren so konfiguriert, dass Datenverkehr zwischen Teilnetzen auf SRX_A und Teilnetzen auf SRX_B fließen kann.
Tabelle 1 Zeigt die Datenverkehrsselektoren für dieses Beispiel. Traffic-Selektoren werden unter Phase-2-Optionen konfiguriert.
SRX_A |
SRX_B |
||||
---|---|---|---|---|---|
Name der Datenverkehrsauswahl |
Lokale IP-Adresse |
Remote-IP |
Name der Datenverkehrsauswahl |
Lokale IP-Adresse |
Remote-IP |
TS1-ipv6 |
2001:db8:10::0/64 |
2001:db8:20::0/64 |
TS1-ipv6 |
2001:db8:20::0/64 |
2001:db8:10::0/64 |
TS2-ipv4 |
192.168.10.0/24 |
192.168.0.0/16 |
TS2-ipv4 |
192.168.0.0/16 |
192.168.10.0/24 |
Die Flow-basierte Verarbeitung von IPv6-Datenverkehr muss mit der Konfigurationsoption auf der Hierarchieebene [] aktiviert werden.mode flow-based
edit security forwarding-options family inet6
Topologie
In einem IPv6-VPN-Tunnel wird sowohl IPv4- als auch IPv6-Datenverkehr zwischen dem SRX_A und SRX_B Geräten übertragen.Abbildung 1 Das heißt, der Tunnel arbeitet sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnelmodus.
Konfiguration
Konfigurieren von SRX_A
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.10.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64 set security ike proposal PSK-DH14-AES256-SHA256 authentication- method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication- algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_A-to-SRX_B ike-policy site-2-site set security ike gateway SRX_A-to-SRX_B address 192.168.20.2 set security ike gateway SRX_A-to-SRX_B external-interface ge-0/0/1.0 set security ike gateway SRX_A-to-SRX_B local-address 192.168.10.1 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication- algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_A-to-SRX_B bind-interface st0.1 set security ipsec vpn SRX_A-to-SRX_B ike ipsec-policy site-2-site set security ipsec vpn SRX_A-to-SRX_B ike gateway SRX_A-to-SRX_B set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN interfaces st0.1 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Traffic-Selektoren:
Konfigurieren Sie die externe Schnittstelle.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
Konfigurieren Sie die sichere Tunnelschnittstelle.
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Konfigurieren Sie die interne Schnittstelle.
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.10.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_A-to-SRX_B] user@host# set ike-policy site-2-site user@host# set address 192.168.20.2 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.10.1
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_A-to-SRX_B] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_A-to-SRX_B user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 user@host# set traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16
Aktivieren Sie die IPv6-Flow-basierte Weiterleitung.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Konfigurieren Sie die Sicherheitszonen und die Sicherheitsrichtlinie.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , und eingeben.show interfaces
show security ike
show security ipsec
show security forwarding-options
show security zones
show security policies
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:2000::1/64; } } } ge-1/0/1 { unit 0 { family inet { address 192.168.10.1/24; } family inet6 { address 10::1/64; } } } st0 { unit 1 { family inet; family inet6; } } [edit] user@host# show security ike proposal PSK-DH14-AES256-SHA256 { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; } policy site-2-site { mode main; proposals PSK-DH14-AES256-SHA256; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway SRX_A-to-SRX_B { ike-policy site-2-site; address 192.168.20.2; external-interface ge-0/0/1.0; local-address 192.168.10.1; } [edit] user@host# show security ipsec proposal ESP-AES256-SHA256 { protocol esp; authentication-algorithm hmac-sha-256-128; encryption-algorithm aes-256-cbc; } policy site-2-site { perfect-forward-secrecy keys group14; proposals ESP-AES256-SHA256; } vpn SRX_A-to-SRX_B { bind-interface st0.1; ike { ipsec-policy site-2-site; gateway SRX_A-to-SRX_B; } traffic-selector TS1-ipv6 { local-ip 2001:db8:10::0/64; remote-ip 2001:db8:20::0/64; } traffic-selector TS2-ipv4 { local-ip 192.168.10.0/24; remote-ip 192.168.0.0/16; } } [edit] user@host# show security forwarding-options family { inet6 { mode flow-based; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-1/0/1.0; } } security-zone untrust { host-inbound-traffic { system-services { ike; } } interfaces { ge-0/0/1.0; } } security-zone VPN { interfaces { st0.1; } } [edit] user@host# show security policies from-zone VPN to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone VPN { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von SRX_B
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 set interfaces ge-1/1/1 unit 0 family inet address 192.168.0.1/24 set security ike proposal PSK-DH14-AES256-SHA256 authentication-method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication-algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_B-to-SRX_A ike-policy site-2-site set security ike gateway SRX_B-to-SRX_A address 192.168.10.1 set security ike gateway SRX_B-to-SRX_A external-interface ge-0/0/1.0 set security ike gateway SRX_B-to-SRX_A local-address 192.168.20.2 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication-algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_B-to-SRX-A bind-interface st0.1 set security ipsec vpn SRX_B-to-SRX-A ike ipsec-policy site-2-site set security ipsec vpn SRX_B-to-SRX-A ike gateway SRX_B-to-SRX_A set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone trust interfaces ge-1/1/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone VPN interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Traffic-Selektoren:
Konfigurieren Sie die externe Schnittstelle.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64
Konfigurieren Sie die sichere Tunnelschnittstelle.
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Konfigurieren Sie die internen Schnittstellen.
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.20.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 user@host# set ge-1/1/1 unit 0 family inet address 192.168.0.1/24
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_B-to-SRX_A] user@host# set ike-policy site-2-site user@host# set address 192.168.10.1 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.20.2
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_B-to-SRX-A] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_B-to-SRX_A user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 user@host# set traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24
Aktivieren Sie die IPv6-Flow-basierte Weiterleitung.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Konfigurieren Sie die Sicherheitszonen und die Sicherheitsrichtlinie.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , und eingeben.show interfaces
show security ike
show security ipsec
show security forwarding-options
show security zones
show security policies
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:2000::2/64; } } } ge-1/0/1 { unit 0 { family inet { address 192.168.20.1/24; } family inet6 { address 2001:db8:20::0/64; } } } ge-1/1/1 { unit 0 { family inet { address 192.168.0.1/24; } } } st0 { unit 1 { family inet; family inet6; } } [edit] user@host# show security ike proposal PSK-DH14-AES256-SHA256 { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; } policy site-2-site { mode main; proposals PSK-DH14-AES256-SHA256; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway SRX_B-to-SRX_A { ike-policy site-2-site; address 192.168.10.1; external-interface ge-0/0/1.0; local-address 192.168.20.2; } [edit] user@host# show security ipsec proposal ESP-AES256-SHA256 { protocol esp; authentication-algorithm hmac-sha-256-128; encryption-algorithm aes-256-cbc; } policy site-2-site { perfect-forward-secrecy keys group14; proposals ESP-AES256-SHA256; } vpn SRX_B-to-SRX-A { bind-interface st0.1; ike { ipsec-policy site-2-site; gateway SRX_B-to-SRX_A; } traffic-selector TS1-ipv6 { local-ip 2001:db8:20::0/64; remote-ip 2001:db8:10::0/64; } traffic-selector TS2-ipv4 { local-ip 192.168.0.0/16; remote-ip 192.168.10.0/24; } } [edit] user@host# show security forwarding-options family { inet6 { mode flow-based; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-1/0/1.0; ge-1/1/1.0; } } security-zone untrust { host-inbound-traffic { system-services { ike; } } interfaces { ge-0/0/1.0; } } security-zone VPN { interfaces { st0.1; } } [edit] user@host# show security policies from-zone VPN to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone VPN { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Die gezeigten Beispielausgaben beziehen sich auf SRX-A.
Überprüfen des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase 2-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations
user@host> show security ipsec security-associations Total active tunnels: 3 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <268173313 ESP:3des/ sha-256 3d75aeff 2984/ unlim - root 500 2001:db8:2000::2 >268173313 ESP:3des/ sha-256 a468fece 2984/ unlim - root 500 2001:db8:2000::2 <268173316 ESP:3des/ sha-256 417f3cea 3594/ unlim - root 500 2001:db8:2000::2 >268173316 ESP:3des/ sha-256 a4344027 3594/ unlim - root 500 2001:db8:2000::2
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations detail
user@host> show security ipsec security-associations detail ID: 268173313 Virtual-system: root, VPN Name: SRX_A-to-SRX_B Local Gateway: 192.168.10.1, Remote Gateway: 2192.168.20.2 Traffic Selector Name: TS1-ipv6 Local Identity: ipv6(2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff) Remote Identity: ipv6(2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff) Version: IKEv1 DF-bit: clear Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29 Tunnel Down Reason: SA not initiated Direction: inbound, SPI: 3d75aeff, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 2976 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2354 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a468fece, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 2976 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2354 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 ID: 268173316 Virtual-system: root, VPN Name: SRX_A-to-SRX_B Local Gateway: 192.168.10.1, Remote Gateway: 192.168.20.2 Traffic Selector Name: TS2-ipv4 Local Identity: ipv4(192.168.10.0-192.168.10.255) Remote Identity: ipv4(192.168.20.0-192.168.20.255) Version: IKEv1 DF-bit: clear Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29 Tunnel Down Reason: SA not initiated Direction: inbound, SPI: 417f3cea, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3586 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2948 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a4344027, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3586 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2948 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations
Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf den Peer-Geräten übereinstimmen.
Verifizieren von Traffic-Selektoren
Zweck
Überprüfen Sie die ausgehandelten Datenverkehrsselektoren auf der sicheren Tunnelschnittstelle.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec traffic-selector st0.1
user@host> show security ipsec traffic-selector st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff 2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff st0.1 268173313 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.0.0-192.168.255.255 st0.1 268173316 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.20.0-192.168.20.255 st0.1 268173317 2001:db8:2000::1
Verifizieren von Routen
Zweck
Überprüfen aktiver Routen
Was
Geben Sie im Betriebsmodus den Befehl ein.show route
user@host> show route inet.0: 24 destinations, 24 routes (24 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.0.0/16 *[ARI-TS/5] 00:00:32 > via st0.1 2001:db8:20::0/64 *[ARI-TS/5] 00:00:34 > via st0.1
Bedeutung
Der Befehl listet aktive Einträge in den Routing-Tabellen auf.show route
Routen zu der Remote-IP-Adresse, die in jedem Datenverkehrsselektor konfiguriert ist, sollten mit der richtigen st0-Schnittstelle vorhanden sein.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.