Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Traffic-Selektoren in routenbasierten VPNs

Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen VPN-Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur der Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über die zugeordnete Sicherheitszuordnung (Security Association, SA) zugelassen.

Grundlegendes zu Datenverkehrsselektoren in routenbasierten VPNs

Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Mit dieser Funktion können Sie einen Datenverkehrsselektor innerhalb eines bestimmten routenbasierten VPN definieren, was zu mehreren IPsec-Sicherheitszuordnungen (SAs) der Phase 2 führen kann. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über die zugeordnete Sicherheitszuordnung zugelassen.

Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 können Datenverkehrsselektoren mit IKEv1 Site-to-Site-VPNs konfiguriert werden. Ab Junos OS Version 15.1X49-D100 können Datenverkehrsselektoren mit IKEv2 Site-to-Site-VPNs konfiguriert werden.

Konfiguration der Datenverkehrsauswahl

Um einen Datenverkehrsselektor zu konfigurieren, verwenden Sie die Konfigurationsanweisung auf der Hierarchieebene [].traffic-selectoredit security ipsec vpn vpn-name Der Traffic-Selektor wird mit den Anweisungen mandatory und definiert.local-ip ip-address/netmaskremote-ip ip-address/netmask Der CLI-Betriebsbefehl zeigt Informationen zur Datenverkehrsauswahl für Sicherheitszuordnungen an.show security ipsec security-association detail Der CLI-Befehl zeigt Informationen für einen angegebenen Datenverkehrsselektor an.show security ipsec security-association traffic-selector traffic-selector-name

Für einen bestimmten Datenverkehrsselektor wird eine einzelne Adresse und Netzmaske für die lokale und die Remote-Adresse angegeben. Datenverkehrsselektoren können mit IPv4- oder IPv6-Adressen konfiguriert werden. Adressbücher können nicht zum Angeben von lokalen oder Remoteadressen verwendet werden.

Für dasselbe VPN können mehrere Datenverkehrsselektoren konfiguriert werden. Für jedes VPN können maximal 200 Datenverkehrsselektoren konfiguriert werden. Datenverkehrsselektoren können mit den Tunnelmodi IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 oder IPv6-in-IPv4 verwendet werden.

Die folgenden Funktionen werden von Datenverkehrsselektoren nicht unterstützt:

  • VPN-Überwachung

  • Unterschiedliche Adressfamilien, die für die lokalen und Remote-IP-Adressen in einer Datenverkehrsauswahl konfiguriert sind

  • Eine Remoteadresse von 0.0.0.0/0 (IPv4) oder 0::0 (IPv6) für Site-to-Site-VPNs

    Ab Junos OS Version 15.1X49-D140 wird auf allen Firewalls der SRX-Serie und vSRX Virtual Firewall-Instanzen die folgende Meldung angezeigt, wenn Sie die Datenverkehrsauswahl mit der Remote-Adresse 0::0 (IPv6) konfigurieren, wenn der Commit ausgeführt wird und das Auschecken der Konfiguration fehlschlägt.“error: configuration check-out failed”

  • Punkt-zu-Mehrpunkt-Schnittstellen

  • Dynamische Routing-Protokolle, die auf st0-Schnittstellen konfiguriert sind

Wenn mehrere Datenverkehrsselektoren für ein routenbasiertes VPN konfiguriert sind, kann freier Datenverkehr in einen VPN-Tunnel gelangen, ohne dass ein Datenverkehrsselektor übereinstimmt, wenn die externe Schnittstelle des IKE-Gateways auf einen anderen virtuellen Router (VR) verschoben wird. Die Software verarbeitet nicht die zahlreichen asynchronen Schnittstellenereignisse, die generiert werden, wenn eine externe IKE-Gateway-Schnittstelle in eine andere VR verschoben wird. Um dieses Problem zu umgehen, deaktivieren Sie zuerst den IPsec-VPN-Tunnel und bestätigen Sie die Konfiguration ohne diesen Tunnel, bevor Sie die externe Schnittstelle des IKE-Gateways in eine andere VR verschieben.

Ab Junos OS Version 21.1R1 können Sie mehrere Sätze von lokalen IP-Präfixen, Remote-IP-Präfixen, Quellportbereichen, Zielportbereichen und Protokollen für die Datenverkehrsauswahl konfigurieren. Dies bedeutet, dass mehrere Sätze von IP-Adressbereichen, Portbereichen und Protokollen Teil desselben Datenverkehrsselektors sein können, wie in RFC 7296 definiert. Wenn Sie mehrere Datenverkehrsselektoren konfigurieren, führt jeder Datenverkehrsselektor zu einer separaten Aushandlung, die zu mehreren IPsec-Tunneln führt. Wenn Sie jedoch mehrere Begriffe unter einem Datenverkehrsselektor konfigurieren, führt diese Konfiguration zu einer einzigen IPsec-SA-Aushandlung mit mehreren IP-Präfixen, Ports und Protokollen. Weitere Informationen finden Sie unter Traffic Selector.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/traffic-selector-edit-security.html

Grundlegendes zum Einfügen automatischer Routen

Auto Route Insertion (ARI) fügt automatisch eine statische Route für das Remote-Netzwerk und die Hosts ein, die durch einen Remote-Tunnelendpunkt geschützt sind. Eine Route wird basierend auf der Remote-IP-Adresse erstellt, die in der Datenverkehrsauswahl konfiguriert ist. Bei Datenverkehrsselektoren wird die konfigurierte Remote-Adresse als Route in die Routinginstanz eingefügt, die der st0-Schnittstelle zugeordnet ist, die an das VPN gebunden ist.

Routing-Protokolle und die Konfiguration der Datenverkehrsauswahl schließen sich gegenseitig aus, um den Datenverkehr in einen Tunnel zu lenken. ARI-Routen können mit Routen in Konflikt geraten, die über Routing-Protokolle aufgefüllt werden. Daher sollten Sie keine Routingprotokolle auf einer st0-Schnittstelle konfigurieren, die an ein VPN gebunden ist, auf dem Datenverkehrsselektoren konfiguriert sind.

ARI wird auch als Reverse Route Insertion (RRI) bezeichnet. ARI-Routen werden wie folgt in die Routing-Tabelle eingefügt:

  • Wenn die Option auf der Hierarchieebene [] konfiguriert ist, werden ARI-Routen hinzugefügt, nachdem die Verhandlungen zwischen Phase 1 und Phase 2 abgeschlossen sind.establish-tunnels immediatelyedit security ipsec vpn vpn-name Da eine Route erst hinzugefügt wird, wenn Sicherheitszuordnungen eingerichtet sind, führt eine fehlgeschlagene Aushandlung nicht dazu, dass der Datenverkehr an eine st0-Schnittstelle weitergeleitet wird, die ausgefallen ist. Stattdessen wird ein alternativer oder Backup-Tunnel verwendet.

  • Wenn die Option nicht auf der Hierarchieebene [] konfiguriert ist, werden ARI-Routen beim Konfigurations-Commit hinzugefügt.establish-tunnels immediatelyedit security ipsec vpn vpn-name

  • Eine ARI-Route wird nicht hinzugefügt, wenn die konfigurierte oder ausgehandelte Remoteadresse in einer Datenverkehrsauswahl 0.0.0.0/0 oder 0::0 ist.

Die Präferenz für die statische ARI-Route ist 5. Dieser Wert ist erforderlich, um Konflikte mit ähnlichen Routen zu vermeiden, die von einem Routingprotokollprozess hinzugefügt werden können. Es gibt keine Konfiguration der Metrik für die statische ARI-Route.

Die statische ARI-Route kann mithilfe der Konfiguration nicht an andere Routing-Instanzen weitergegeben werden.rib-groups Verwenden Sie die Konfiguration, um statische ARI-Routen zu verlieren.import-policy

Grundlegendes zu Datenverkehrsselektoren und überlappenden IP-Adressen

In diesem Abschnitt werden überlappende IP-Adressen in Datenverkehrsauswahlkonfigurationen erläutert.

Überlappende IP-Adressen in verschiedenen VPNs, die an dieselbe st0-Schnittstelle gebunden sind

Dieses Szenario wird mit Datenverkehrsselektoren nicht unterstützt. Datenverkehrsselektoren können nicht auf verschiedenen VPNs konfiguriert werden, die an dieselbe Punkt-zu-Mehrpunkt-ST0-Schnittstelle gebunden sind, wie im folgenden Beispiel gezeigt:

Überlappende IP-Adressen im selben VPN, die an dieselbe st0-Schnittstelle gebunden sind

Wenn überlappende IP-Adressen für mehrere Datenverkehrsselektoren im selben VPN konfiguriert werden, bestimmt der erste konfigurierte Datenverkehrsselektor, der dem Paket entspricht, den Tunnel, der für die Paketverschlüsselung verwendet wird.

Im folgenden Beispiel sind vier Datenverkehrsselektoren (ts-1, ts-2, ts-3 und ts-4) für das VPN (vpn-1) konfiguriert, das an die Punkt-zu-Punkt-Schnittstelle st0.1 gebunden ist:

Ein Paket mit der Quelladresse 192.168.5.5 und der Zieladresse 10.1.5.10 stimmt mit den Datenverkehrsselektoren ts-1 und ts-2 überein. Der Datenverkehrsselektor ts-1 ist jedoch die erste konfigurierte Übereinstimmung, und der mit ts-1 verknüpfte Tunnel wird für die Paketverschlüsselung verwendet.

Ein Paket mit der Quelladresse 172.16.5.5 und der Zieladresse 10.2.5.10 stimmt mit den Datenverkehrsselektoren ts-3 und ts-4 überein. Der Datenverkehrsselektor ts-3 ist jedoch die erste konfigurierte Übereinstimmung, und der Tunnel, der dem Datenverkehrsselektor ts-3 zugeordnet ist, wird für die Paketverschlüsselung verwendet.

Überlappende IP-Adressen in verschiedenen VPNs, die an unterschiedliche st0-Schnittstellen gebunden sind

Wenn überlappende IP-Adressen für mehrere Datenverkehrsselektoren in verschiedenen VPNs konfiguriert werden, die an verschiedene Punkt-zu-Punkt-st0-Schnittstellen gebunden sind, wird eine st0-Schnittstelle zuerst anhand der längsten Präfixübereinstimmung für ein bestimmtes Paket ausgewählt. Innerhalb des VPNs, das an die ausgewählte st0-Schnittstelle gebunden ist, wird dann der Datenverkehrsselektor basierend auf der ersten konfigurierten Übereinstimmung für das Paket ausgewählt.

Im folgenden Beispiel wird in zwei VPNs jeweils ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren werden mit demselben lokalen Teilnetz, aber unterschiedlichen Remote-Teilnetzen konfiguriert.

In jeder Datenverkehrsauswahl werden unterschiedliche Remote-Subnetze konfiguriert, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.

Im folgenden Beispiel wird in zwei VPNs jeweils ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren werden mit unterschiedlichen Remote-Subnetzen konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe lokale Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.

In jedem Datenverkehrsselektor wird ein anderes Remote-Subnetzwerk konfiguriert, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.

Im folgenden Beispiel werden Datenverkehrsselektoren in jedem der beiden VPNs konfiguriert. Die Datenverkehrsselektoren werden mit unterschiedlichen lokalen und Remote-Subnetzen konfiguriert.

In diesem Fall überlappen sich die Traffic-Selektoren nicht. Die in den Datenverkehrsselektoren konfigurierten Remote-Subnetze sind unterschiedlich, daher werden der Routing-Tabelle zwei verschiedene Routen hinzugefügt. Bei der Routensuche wird die st0-Schnittstelle verwendet, die an das entsprechende VPN gebunden ist.

Im folgenden Beispiel wird in zwei VPNs jeweils ein Datenverkehrsselektor konfiguriert. Die Datenverkehrsselektoren werden mit demselben lokalen Subnetz konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe Remote-Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.

Beachten Sie, dass für ts-1 10.1.1.0/24 konfiguriert ist, während für ts-2 10.1.0.0/16 konfiguriert ist.remote-ipremote-ip Für ein Paket, das für 10.1.1.1 bestimmt ist, wählt die Routensuche die st0.1-Schnittstelle aus, da sie die längere Präfixübereinstimmung aufweist. Das Paket wird basierend auf dem Tunnel verschlüsselt, der der st0.1-Schnittstelle entspricht.

In einigen Fällen können gültige Pakete aufgrund der Verkehrserzwingung der Datenverkehrsauswahl verworfen werden. Im folgenden Beispiel werden Datenverkehrsselektoren in jedem der beiden VPNs konfiguriert. Die Datenverkehrsselektoren werden mit unterschiedlichen lokalen Subnetzen konfiguriert. Für jeden Datenverkehrsselektor wird dasselbe Remote-Subnetz konfiguriert, es werden jedoch unterschiedliche Netzmaskenwerte angegeben.

Der Routing-Tabelle werden zwei Routen zu 10.1.1.0 (10.1.1.0/24 über die Schnittstelle st0.1 und 10.1.0.0/16 über die Schnittstelle st0.2) hinzugefügt. Ein Paket, das von Quelle 172.16.1.1 an Ziel 10.1.1.1 gesendet wird, stimmt mit dem Routing-Tabelleneintrag für 10.1.1.0/24 über die Schnittstelle st0.1 überein. Das Paket stimmt jedoch nicht mit dem Datenverkehr überein, der durch den Datenverkehrsselektor ts-1 angegeben wird, und wird verworfen.

Wenn mehrere Datenverkehrsselektoren mit demselben Remote-Subnetz und derselben gleichen Netzmaske konfiguriert sind, werden der Routing-Tabelle Routen mit gleichen Kosten hinzugefügt. Dieser Fall wird mit Verkehrsselektoren nicht unterstützt, da die gewählte Route nicht vorhergesagt werden kann.

Beispiel: Konfigurieren von Datenverkehrsselektoren in einem routenbasierten VPN

In diesem Beispiel wird gezeigt, wie Datenverkehrsselektoren für ein routenbasiertes VPN konfiguriert werden.

Anforderungen

Bevor Sie beginnen,

Überblick

In diesem Beispiel werden Datenverkehrsselektoren so konfiguriert, dass Datenverkehr zwischen Teilnetzen auf SRX_A und Teilnetzen auf SRX_B fließen kann.

Tabelle 1 Zeigt die Datenverkehrsselektoren für dieses Beispiel. Traffic-Selektoren werden unter Phase-2-Optionen konfiguriert.

Tabelle 1: Konfigurationen der Datenverkehrsauswahl

SRX_A

SRX_B

Name der Datenverkehrsauswahl

Lokale IP-Adresse

Remote-IP

Name der Datenverkehrsauswahl

Lokale IP-Adresse

Remote-IP

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

Die Flow-basierte Verarbeitung von IPv6-Datenverkehr muss mit der Konfigurationsoption auf der Hierarchieebene [] aktiviert werden.mode flow-basededit security forwarding-options family inet6

Topologie

In einem IPv6-VPN-Tunnel wird sowohl IPv4- als auch IPv6-Datenverkehr zwischen dem SRX_A und SRX_B Geräten übertragen.Abbildung 1 Das heißt, der Tunnel arbeitet sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnelmodus.

Abbildung 1: Konfigurationsbeispiel für die DatenverkehrsauswahlKonfigurationsbeispiel für die Datenverkehrsauswahl

Konfiguration

Konfigurieren von SRX_A

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Traffic-Selektoren:

  1. Konfigurieren Sie die externe Schnittstelle.

  2. Konfigurieren Sie die sichere Tunnelschnittstelle.

  3. Konfigurieren Sie die interne Schnittstelle.

  4. Konfigurieren Sie die Optionen für Phase 1.

  5. Konfigurieren Sie die Optionen für Phase 2.

  6. Aktivieren Sie die IPv6-Flow-basierte Weiterleitung.

  7. Konfigurieren Sie die Sicherheitszonen und die Sicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , und eingeben.show interfacesshow security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von SRX_B

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Traffic-Selektoren:

  1. Konfigurieren Sie die externe Schnittstelle.

  2. Konfigurieren Sie die sichere Tunnelschnittstelle.

  3. Konfigurieren Sie die internen Schnittstellen.

  4. Konfigurieren Sie die Optionen für Phase 1.

  5. Konfigurieren Sie die Optionen für Phase 2.

  6. Aktivieren Sie die IPv6-Flow-basierte Weiterleitung.

  7. Konfigurieren Sie die Sicherheitszonen und die Sicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , und eingeben.show interfacesshow security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Die gezeigten Beispielausgaben beziehen sich auf SRX-A.

Überprüfen des IPsec-Phase-2-Status

Zweck

Überprüfen Sie den IPsec-Phase 2-Status.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations

Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations detail

Bedeutung

Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf den Peer-Geräten übereinstimmen.

Verifizieren von Traffic-Selektoren

Zweck

Überprüfen Sie die ausgehandelten Datenverkehrsselektoren auf der sicheren Tunnelschnittstelle.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security ipsec traffic-selector st0.1

Verifizieren von Routen

Zweck

Überprüfen aktiver Routen

Was

Geben Sie im Betriebsmodus den Befehl ein.show route

Bedeutung

Der Befehl listet aktive Einträge in den Routing-Tabellen auf.show route Routen zu der Remote-IP-Adresse, die in jedem Datenverkehrsselektor konfiguriert ist, sollten mit der richtigen st0-Schnittstelle vorhanden sein.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
15.1X49-D140
Ab Junos OS Version 15.1X49-D140 wird auf allen Firewalls der SRX-Serie und vSRX Virtual Firewall-Instanzen die folgende Meldung angezeigt, wenn Sie die Datenverkehrsauswahl mit der Remote-Adresse 0::0 (IPv6) konfigurieren, wenn der Commit ausgeführt wird und das Auschecken der Konfiguration fehlschlägt.“error: configuration check-out failed”
15.1X49-D100
Ab Junos OS Version 15.1X49-D100 können Datenverkehrsselektoren mit IKEv2 Site-to-Site-VPNs konfiguriert werden.
12.1X46-D10
Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 können Datenverkehrsselektoren mit IKEv1 Site-to-Site-VPNs konfiguriert werden.