Routenbasiertes VPN mit IKEv2
Internet Key Exchange Version 2 (IKEv2) ist ein IPsec-basiertes Tunneling-Protokoll, das einen sicheren VPN-Kommunikationskanal zwischen Peer-VPN-Geräten bereitstellt und die Aushandlung und Authentifizierung für IPsec-Sicherheitszuordnungen (SAs) auf geschützte Weise definiert.
Tabelle 1 beschreibt die IPsec Radius xAuth- oder CP-Werte.
| Radius-Attribut | Attribut-ID | Attributname | Anbieter-ID (Wörterbuch) | Anbieter-Attribut-ID | Attributwert | Typ |
|---|---|---|---|---|---|---|
| Standard | 8 | Gerahmte IP-Adresse | n/z | n/z | IP-Adresse | IPv4-Adresse |
| Standard | 88 | Eingerahmten Pool | n/z | n/z | Name | Text |
| Standard | 100 | Gerahmten IPv6-Pool | n/z | n/z | Name | Text |
| Vendor | 26 | Primäres DNS | 4874 (Juniper ERX) | 4 | IP-Adresse | IPv4-Adresse |
| Vendor | 26 | Sekundäres DNS | 4874 (Juniper ERX) | 5 | IP-Adresse | IPv4-Adresse |
| Vendor | 26 | Primäre WINS (NBNS) | 4874 (Juniper ERX) | 6 | IP-Adresse | IPv4-Adresse |
| Vendor | 26 | Sekundäre WINS (NBNS) | 4874 (Juniper ERX) | 7 | IP-Adresse | IPv4-Adresse |
| Vendor | 26 | Primäres IPv6-DNS | 4874 (Juniper ERX) | 47 | IP-Adresse | Hex-String oder Oktett |
| Vendor | 26 | Sekundäres IPv6-DNS | 4874 (Juniper ERX) | 48 | IP-Adresse | Hex-String oder Oktett |
Beispiel: Konfigurieren eines routenbasierten VPN für IKEv2
Dieses Beispiel zeigt, wie Sie ein routenbasiertes IPsec-VPN konfigurieren, um die sichere Übertragung von Daten zwischen einer Zweigstelle und einem Unternehmensbüro zu ermöglichen.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
SRX240-Gerät
Gerät SSG140
Bevor Sie beginnen, lesen Sie IPsec – Übersicht.
Überblick
In diesem Beispiel konfigurieren Sie ein routenbasiertes VPN für eine Zweigstelle in Chicago, Illinois, da Sie Tunnelressourcen einsparen, aber dennoch granulare Einschränkungen für den VPN-Datenverkehr erhalten möchten. Benutzer im Büro in Chicago nutzen das VPN, um sich mit ihrer Unternehmenszentrale in Sunnyvale, Kalifornien, zu verbinden.
In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute, Sicherheitszonen und Adressbücher. Dann konfigurieren Sie IKE Phase 1, IPsec Phase 2, eine Sicherheitsrichtlinie und TCP-MSS-Parameter. Sehen Sie Tabelle 2 sich die spezifischen Konfigurationsparameter an Tabelle 6 , die in diesem Beispiel verwendet werden.
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Schnittstellen |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
|
st0.0 (Tunnelschnittstelle) |
10.11.11.10/24 |
|
Statische Routen |
0.0.0.0/0 (Standardroute) |
Der nächste Hop ist 10.1.1.1. |
192.168.168.0/24 |
Der nächste Hop ist st0.0. |
|
Sicherheitszonen |
Vertrauen |
|
nicht vertrauenswürdig |
|
|
vpn-chicago |
Die st0.0-Schnittstelle ist an diese Zone gebunden. |
|
Adressbucheinträge |
Sunnyvale |
|
Chicago |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
ike-phase1-Vorschlag |
|
Richtlinien |
ike-phase1-Richtlinie |
|
Gateway |
gw-chicago |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
Ipsec-Phase2-Vorschlag |
|
Richtlinien |
Ipsec-Phase2-Richtlinie |
|
VPN |
ipsec-vpn-chicago |
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur vpn-chicago Zone. |
vpn-tr-chi |
|
Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der vpn-chicago Zone zur Trust Zone. |
vpn-chi-tr |
|
Zweck |
Konfigurationsparameter |
|---|---|
TCP-MSS wird als Teil des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um besser an die MTU-Grenzen in einem Netzwerk zu passen. Für VPN-Datenverkehr kann der IPsec-Kapselungsaufwand zusammen mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle übersteigt, was zu Fragmentierung führt. Fragmentierung erhöht die Bandbreite und die Geräteressourcen. Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von 1500 oder mehr. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Sie müssen beispielsweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU hat oder wenn zusätzlichen Overhead wie PPP oder Frame Relay entsteht. |
MSS-Wert: 1350 |
Konfiguration
- Konfigurieren von Schnittstellen, statischer Route, Sicherheitszone und Adressbuchinformationen
- Konfiguration von IKE
- Konfigurieren von IPsec
- Konfigurieren von Sicherheitsrichtlinien
- Konfigurieren von TCP-MSS
- Konfigurieren des Geräts der SSG-Serie
Konfigurieren von Schnittstellen, statischer Route, Sicherheitszone und Adressbuchinformationen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust address-book address sunnyvale 192.168.10.0/24 set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago address-book address chicago 192.168.168.0/24
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellen-, statische Route-, Sicherheitszonen- und Adressbuchinformationen:
Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@host# set routing-options static route 192.168.168.0/24 next-hop st0.0
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit ] user@host# edit security zones security-zone untrust
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
Geben Sie die zulässigen Systemservices für die Sicherheitszone an.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
Konfigurieren Sie die Vertrauenssicherheitszone.
[edit] user@host# edit security zones security-zone trust
Weisen Sie der Trust Security Zone eine Schnittstelle zu.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Konfigurieren Sie den Adressbucheintrag für die Vertrauenssicherheitszone.
[edit security zones security-zone trust] user@host# set address-book address sunnyvale 192.168.10.0/24
Konfigurieren Sie die Sicherheitszone vpn-chicago.
[edit] user@host# edit security zones security-zone vpn-chicago
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0
Konfigurieren Sie den Adressbucheintrag für die vpn-chicago-Zone.
[edit security zones security-zone vpn-chicago] user@host# set address-book address chicago 192.168.168.0/24
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show security zonesshow routing-optionsdie Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
address-book {
address sunnyvale 192.168.10.0/24;
}
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
address-book {
address chicago 192.168.168.0/24;
}
}
interfaces {
st0.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration von IKE
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-chicago external-interface ge-0/0/3.0 set security ike gateway gw-chicago ike-policy ike-phase1-policy set security ike gateway gw-chicago address 10.2.2.2 set security ike gateway gw-chicago version v2-only
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
Erstellen Sie den IKE Phase 1-Vorschlag.
[edit security ike] user@host# set proposal ike-phase1-proposal
Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-method pre-shared-keys
Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.
[edit security ike proposal ike-phase1-proposal] user@host# set dh-group group2
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-algorithm sha1
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@host# set encryption-algorithm aes-128-cbc
Erstellen Sie eine IKE Phase-1-Richtlinie.
[edit security ike] user@host# set policy ike-phase1-policy
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike-phase1-policy] user@host# set proposals ike-phase1-proposal
Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.
[edit security ike policy ike-phase1-policy] user@host# set pre-shared-key ascii-text “$ABC123”
Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.
[edit security ike] user@host# set gateway gw-chicago external-interface ge-0/0/3.0
Definieren der IKE Phase 1-Richtlinienreferenz.
[edit security ike gateway gw-chicago] user@host# set ike-policy ike-phase1-policy
Definieren Sie die IKE Phase 1 Gateway-Adresse.
[edit security ike gateway gw-chicago] user@host# set address 10.2.2.2
Definieren Sie die IKE Phase 1 Gateway-Version.
[edit security ike gateway gw-chicago] user@host# set version v2-only
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IPsec
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn ipsec-vpn-chicago ike gateway gw-chicago set security ipsec vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy set security ipsec vpn ipsec-vpn-chicago bind-interface st0.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@host# set security ipsec proposal ipsec-phase2-proposal
Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set protocol esp
Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set authentication-algorithm hmac-sha1-96
Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set encryption-algorithm aes-128-cbc
Erstellen Sie die IPsec-Phase-2-Richtlinie.
[edit security ipsec] user@host# set policy ipsec-phase2-policy
Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.
[edit security ipsec policy ipsec-phase2-policy] user@host# set proposals ipsec-phase2-proposal
Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike gateway gw-chicago
Geben Sie die IPsec-Phase-2-Richtlinie an.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy
Geben Sie die Schnittstelle an, die gebunden werden soll.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago bind-interface st0.0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ipsec-vpn-chicago {
bind-interface st0.0;
ike {
gateway gw-chicago;
ipsec-policy ipsec-phase2-policy;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match source-address sunnyvale set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match destination-address chicago set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match application any set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi then permit set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match source-address chicago set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match destination-address sunnyvale set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match application any set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust Zone zur vpn-chicago Zone zuzulassen.
[edit security policies from-zone trust to-zone vpn-chicago] user@host# set policy vpn-tr-chi match source-address sunnyvale user@host# set policy vpn-tr-chi match destination-address chicago user@host# set policy vpn-tr-chi match application any user@host# set policy vpn-tr-chi then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der vpn-chicago Zone zur Trust Zone zuzulassen.
[edit security policies from-zone vpn-chicago to-zone trust] user@host# set policy vpn-chi-tr match source-address sunnyvale user@host# set policy vpn-chi-tr match destination-address chicago user@host# set policy vpn-chi-tr match application any user@host# set policy vpn-chi-tr then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone vpn-chicago {
policy vpn-tr-vpn {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit;
}
}
}
from-zone vpn-chicago to-zone trust {
policy vpn-tr-vpn {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von TCP-MSS
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie TCP-MSS-Informationen:
Konfigurieren Sie TCP-MSS-Informationen.
[edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security flow Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren des Geräts der SSG-Serie
CLI-Schnellkonfiguration
Als Referenz wird die Konfiguration für das Gerät der SSG-Serie angegeben. Informationen zur Konfiguration von Geräten der Concepts & Examples ScreenOS Reference GuideSSG-Serie finden Sie unter https://www.juniper.net/documentation.
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set zone name vpn-chicago set interface ethernet0/6 zone Trust set interface ethernet0/0 zone Untrust set interface tunnel.1 zone vpn-chicago set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address Trust “192.168.168-net” 192.168.168.0 255.255.255.0 set address vpn-chicago "192.168.10-net" 192.168.10.0 255.255.255.0 set ike gateway corp-ike address 10.1.1.2 IKEv2 outgoing-interface ethernet0/0 preshare 395psksecr3t sec-level standard set vpn corp-vpn gateway corp-ike replay tunnel idletime 0 sec-level standard set vpn corp-vpn monitor optimized rekey set vpn corp-vpn bind interface tunnel.1 set policy from Trust to Untrust “ANY” “ANY” “ANY” nat src permit set policy from Trust to vpn-chicago “192.168.168-net” “192.168.10-net” “ANY” permit set policy from vpn-chicago to Trust “192.168.10-net” “192.168.168-net” “ANY” permit set route 192.168.10.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des IKE Phase 1-Status
- Überprüfung des IPsec-Phase-2-Status
- Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
- Testen des Datenverkehrsflusses über das VPN
Überprüfung des IKE Phase 1-Status
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Bevor Sie mit der Verifizierung beginnen, müssen Sie den Datenverkehr von einem Host im Netzwerk 192.168.10/24 an einen Host im 192.168.168/24-Netzwerk senden. Bei routenbasierten VPNs kann der Datenverkehr durch die Firewall der SRX-Serie über den Tunnel initiiert werden. Wir empfehlen, beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf der einen Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN zu senden. Starten Sie beispielsweise einen Ping von 192.168.10.10 bis 192.168.168.10.
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 10.2.2.2 UP 744a594d957dd513 1e1307db82f58387 IKEv2
user@host> show security ike security-associations index 1 detail IKE peer 10.2.2.2, Index 1, Role: Responder, State: UP Initiator cookie: 744a594d957dd513, Responder cookie: 1e1307db82f58387 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 28570 seconds Algorithms: Authentication : sha1 Encryption : aes-cbc (128 bits) Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 852 Output bytes : 940 Input packets : 5 Output packets : 5 Flags: Caller notification sent IPSec security associations: 1 created, 0 deleted
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations index detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten.Remote-Adresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist.
Bundesland
UP: Phase 1 SA wurde eingerichtet.
DOWN: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt).
Parameter für IKE-Richtlinien.
Vorab-Schlüsselinformationen.
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen).
Der show security ike security-associations index 1 detail Befehl listet zusätzliche Informationen zum SA mit der Indexnummer 1 auf:
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Phase 1 Lebensdauer
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
Informationen zu Initiatoren und Responder
Anzahl der erstellten IPsec-SAs
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase-2-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 76d64d1d 3363/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 a1024ee2 3363/ unlim - 0
user@host> show security ipsec security-associations index 16384 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2
Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Version: IKEv2
DF-bit: clear
Direction: inbound, SPI: 1993755933, AUX-SPI: 0
Hard lifetime: Expires in 3352 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2775 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2701283042, AUX-SPI: 0
Hard lifetime: Expires in 3352 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2775 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc
(128 bits)
Anti-replay service: enabled, Replay window size: 32
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
Die ID-Nummer ist 16384. Verwenden Sie diesen Wert mit dem
show security ipsec security-associations indexBefehl, um weitere Informationen zu dieser bestimmten SA zu erhalten.Es gibt ein IPsec SA-Paar mit Port 500.
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3363/unlim zeigt an, dass die Lebensdauer der Phase 2 in 3363 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann von der Lebensdauer der Phase 1 abweichen, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
Das vsys ist das Root-System und es wird immer als 0 aufgeführt.
Der IKEv2 ermöglicht Verbindungen von einem Peer der Version 2 und initiiert eine Aushandlung der Version 2.
Die Ausgabe des show security ipsec security-associations index 16384 detail Befehls listet die folgenden Informationen auf:
Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.
Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.
Ein weiterer häufiger Grund für das Ausfallen von Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.
Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
Zweck
Überprüfen Sie ESP- und Authentifizierungs-Header-Zähler und -Fehler für eine IPsec-SA.
Aktion
Geben Sie im Betriebsmodus den show security ipsec statistics index index_number Befehl ein und verwenden Sie die Indexnummer des VPN, für das Sie Statistiken anzeigen möchten.
user@host> show security ipsec statistics index 16384 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sie können den show security ipsec statistics Befehl auch verwenden, um Statistiken und Fehler für alle SAs zu überprüfen.
Verwenden Sie den clear security ipsec statistics Befehl, um alle IPsec-Statistiken zu löschen.
Bedeutung
Wenn in einem VPN Paketverluste auftreten, können Sie den Befehl oder show security ipsec statistics detail den show security ipsec statistics Befehl mehrmals ausführen, um zu bestätigen, dass die Zähler für verschlüsselte und entschlüsselte Pakete inkrementieren. Sie sollten auch überprüfen, ob die anderen Fehlerindikatoren inkrementiert werden.
Testen des Datenverkehrsflusses über das VPN
Zweck
Überprüfen Sie den Datenverkehrsfluss über das VPN.
Aktion
Sie können den ping Befehl der Firewall der SRX-Serie verwenden, um den Datenverkehrsfluss zu einem Remote-Host-PC zu testen. Stellen Sie sicher, dass Sie die Quellschnittstelle angeben, damit die Routensuche korrekt ist und auf die entsprechenden Sicherheitszonen bei der Richtliniensuche verwiesen wird.
Geben Sie im Betriebsmodus den ping Befehl ein.
ssg-> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Sie können auch den ping Befehl des Geräts der SSG-Serie verwenden.
user@host> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Bedeutung
Wenn der ping Befehl vom Gerät der SRX- oder SSG-Serie fehlschlägt, liegt möglicherweise ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Ver- und Entschlüsselung von ESP-Paketen vor.
Beispiel: Konfigurieren der SRX-Serie für die Bereitstellung von Pico-Zellen mit IKEv2-Konfigurations-Payload
In Netzwerken, in denen viele Geräte eingesetzt werden, muss das Netzwerkmanagement einfach sein. Die Konfigurationsnutzlastfunktion IKEv2 unterstützt die Bereitstellung dieser Geräte, ohne die Gerätekonfiguration oder die Konfiguration der SRX-Serie zu berühren. Dieses Beispiel zeigt, wie Sie eine SRX-Serie so konfigurieren, dass sie die Bereitstellung von Picozellen mithilfe der Konfigurations-Nutzdatenfunktion IKEv2 unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Zwei Firewalls der SRX-Serie, die in einem Chassis-Cluster konfiguriert sind
-
Eine Firewall der SRX-Serie als Zwischenrouter konfiguriert
-
Zwei Pico-Cell-Clients
-
Ein RADIUS-Server mit Pico Cell Client-Bereitstellungsinformationen konfiguriert
-
Junos OS Version 12.1X46-D10 oder höher für Unterstützung von IKEv2-Konfigurations-Nutzdaten
Überblick
In diesem Beispiel verwendet eine SRX-Serie die IKEv2-Konfigurationsnutzlastfunktion, um die Bereitstellung von Informationen an eine Reihe von Picozellen zu verbreiten. Die Picozellen werden ab Werk mit einer Standardkonfiguration verschickt, die es ihnen ermöglicht, sich mit der SRX-Serie zu verbinden, aber die Informationen zur Bereitstellung der Picozellen werden auf einem externen RADIUS-Server gespeichert. Die Picozellen erhalten vollständige Bereitstellungsinformationen, nachdem sie sichere Verbindungen mit Bereitstellungsservern in einem geschützten Netzwerk hergestellt haben. IKEv2-Konfigurationsnutzlast wird sowohl für IPv4 als auch für IPV6 unterstützt. In diesem Beispiel wird die IKEv2-Konfigurationsnutzlast für IPv4 behandelt, sie können jedoch auch mit IPv6-Adressen konfiguriert werden.
Ab Junos OS Version 20.3R1 unterstützen wir IKEv2 IPv6-Konfigurationsnutzlast für die Zuweisung von IPv6-Adressen in der SRX5000-Reihe , die einen iked-Prozess ausführt. Der gleiche Support ist auch in der virtuellen vSRX-Firewall enthalten, die einen iked-Prozess ab Junos OS Version 21.1R1 ausführt.
Abbildung 1 zeigt eine Topologie, in der die SRX-Serie die Bereitstellung von Picozellen mithilfe der Konfigurations-Nutzdatenfunktion IKEv2 unterstützt.
Jede Picozelle in dieser Topologie initiiert zwei IPsec-VPNs: eine für die Verwaltung und eine für Daten. In diesem Beispiel verwendet der Verwaltungsdatenverkehr den Tunnel mit dem Label OAM-Tunnel, während der Datenverkehr durch den mit 3GPP-Tunnel gekennzeichneten Tunnel fließt. Jeder Tunnel unterstützt Verbindungen mit OAM und 3GPP, die Server in separaten, konfigurierbaren Netzwerken bereitstellen, sodass separate Routing-Instanzen und VPNs erforderlich sind. In diesem Beispiel werden die Optionen für IKE Phase 1 und Phase 2 zum Einrichten der OAM- und 3GPP-VPNs angezeigt.
In diesem Beispiel fungiert die SRX-Serie als IKEv2-Konfigurations-Nutzdatenserver, der Bereitstellungsinformationen vom RADIUS-Server erfasst und diese Informationen den Pico-Cell-Clients zur Verfügung stellt. Die SRX-Serie gibt die Bereitstellungsinformationen für jeden autorisierten Client in der IKEv2-Konfigurations-Payload während der Tunnel-Aushandlung zurück. Die SRX-Serie kann nicht als Client-Gerät verwendet werden.
Darüber hinaus verwendet die SRX-Serie die IKEv2-Konfigurations-Nutzdaten, um die Werte des Traffic Selector Initiator (TSi) und des Traffic Selector Responder (TSr), die während der Tunnelverhandlungen mit dem Client ausgetauscht werden, zu aktualisieren. Die Konfigurationsnutzlast verwendet die Werte TSi und TSr, die in der SRX-Serie mit der proxy-identity Anweisung auf Hierarchieebene [edit security ipsec vpn vpn-name ike] konfiguriert sind. Die Werte TSi und TSr definieren den Netzwerkverkehr für jedes VPN.
Der Zwischenrouter leitet den Pico-Zellen-Datenverkehr an die entsprechenden Schnittstellen der SRX-Serie.
Der folgende Prozess beschreibt die Verbindungsreihenfolge:
-
Die Picozelle initiiert einen IPsec-Tunnel mit der SRX-Serie über die Werkskonfiguration.
-
Die SRX-Serie authentifiziert den Client mithilfe der Client-Zertifikatsinformationen und des Stammzertifikats der CA, die für die SRX-Serie registriert ist. Nach der Authentifizierung leitet die SRX-Serie die IKE-Identitätsinformationen aus dem Client-Zertifikat in einer Autorisierungsanfrage an den RADIUS-Server weiter.
-
Nach der Autorisierung des Clients reagiert der RADIUS-Server auf die SRX-Serie mit den Client-Bereitstellungsinformationen:
-
IP-Adresse (TSi-Wert)
-
IP-Subnetzmaske (optional; Standard ist 32 Bit)
-
DNS-Adresse (optional)
-
-
Die SRX-Serie gibt die Bereitstellungsinformationen in der IKEv2-Konfigurationsnutzlast für jede Clientverbindung zurück und tauscht die endgültigen TSi- und TSr-Werte mit den Picozellen aus. In diesem Beispiel stellt die SRX-Serie die folgenden TSi- und TSr-Informationen für jedes VPN bereit:
VPN-Verbindung
TSi/TSr-Werte, die von SRX bereitgestellt werden
Pico 1 OAM
Tsi: 10.12.1.201/32, TSr: 192.168.2.0/24
Pico 1 3GPP
Tsi: 10.13.1.201/32, TSr: 192.168. 3,0/24, TSr: 10.13.0.0/16
Pico 2 OAM
Tsi: 10.12.1.205/32, TSr: 192.168.2.0/24
Pico 2 3GPP
Tsi: 10.13.1.205/32, TSr: 192.168. 3,0/24, TSr: 10.13.0.0/16
Wenn die vom RADIUS-Server bereitgestellten Bereitstellungsinformationen eine Subnetzmaske umfassen, gibt die SRX-Serie einen zweiten TSr-Wert für die Clientverbindung zurück, die das IP-Subnetz umfasst. Dies ermöglicht die intrapeere Kommunikation für Geräte in diesem Subnetz. In diesem Beispiel wird die Intrapeer-Kommunikation für das Subnetz aktiviert, das mit 3GPP VPN (13.13.0.0/16) verknüpft ist.
Die IKEv2-Konfigurationsnutzlastfunktion wird sowohl für Point-to-Multipoint Secure Tunnel (st0)-Schnittstellen als auch für Point-to-Point-Schnittstellen unterstützt. Bei Point-to-Multipoint-Schnittstellen müssen die Schnittstellen nummeriert sein, und die in der Konfigurationsnutzlast angegebenen Adressen müssen sich im Subnetzbereich der zugehörigen Point-to-Multipoint-Schnittstelle befinden.
Ab Junos OS Version 20.1R1 unterstützen wir die IKEv2-Konfigurations-Nutzdatenfunktion mit Punkt-zu-Punkt-Schnittstellen auf der SRX5000-Reihe und der virtuellen vSRX-Firewall , die iked ausgeführt wird.
Tabelle 7 zeigt die Phase-1- und Phase-2-Optionen, die auf der SRX-Serie konfiguriert wurden, einschließlich Informationen für den Aufbau von OAM- und 3GPP-Tunneln.
|
Option |
Wert |
|---|---|
| IKE-Vorschlag: | |
|
Name des Vorschlags |
IKE_PROP |
|
Authentifizierungsmethode |
DIGITALE RSA-Zertifikate |
|
Diffie-Hellman (DH)-Gruppe |
gruppe5 |
|
Authentifizierungsalgorithmus |
SHA-1 |
|
Verschlüsselungsalgorithmus |
AES 256 CBC |
| IKE-Richtlinie: | |
|
Name der IKE-Richtlinie |
IKE_POL |
|
Lokales Zertifikat |
Example_SRX |
| IKE-Gateway (OAM): | |
|
IKE-Richtlinie |
IKE_POL |
|
Remote-IP-Adresse |
Dynamische |
|
IKE-Benutzertyp |
group-ike-id |
|
Lokale IKE-ID |
Hostname srx_series.example.net |
|
Remote-IKE-ID |
Hostname .pico_cell.net |
|
Externe Schnittstelle |
reth0.0 |
|
Zugriffsprofil |
radius_pico |
|
IKE-Version |
v2-only |
| IKE-Gateway (3GPP): | |
|
IKE-Richtlinie |
IKE_POL |
|
Remote-IP-Adresse |
Dynamische |
|
IKE-Benutzertyp |
group-ike-id |
|
Lokale IKE-ID |
Distinguished-Name-Wildcard OU=srx_series |
|
Remote-IKE-ID |
Distinguished-Name-Wildcard OU=pico_cell |
|
Externe Schnittstelle |
reth1 |
|
Zugriffsprofil |
radius_pico |
|
IKE-Version |
v2-only |
| IPsec-Vorschlag: | |
|
Name des Vorschlags |
IPSEC_PROP |
|
Protokoll |
ESP |
|
Authentifizierungsalgorithmus |
HMAC SHA-1 96 |
|
Verschlüsselungsalgorithmus |
AES 256 CBC |
| IPsec-Richtlinie: | |
|
Richtlinienname |
IPSEC_POL |
|
Perfect Forward Secrecy (PFS)-Schlüssel |
gruppe5 |
|
IPsec-Vorschläge |
IPSEC_PROP |
| IPsec-VPN (OAM): | |
|
Bind-Schnittstelle |
st0.0 |
|
IKE-Gateway |
OAM_GW |
|
Lokale Proxy-Identität |
192.168.2.0/24 |
|
Remote-Proxy-Identität |
0.0.0.0/0 |
|
IPsec-Richtlinie |
IPSEC_POL |
| IPsec-VPN (3GPP): | |
|
Bind-Schnittstelle |
st0.1 |
|
IKE-Gateway |
3GPP_GW |
|
Lokale Proxy-Identität |
192.168. 3,0/24 |
|
Remote-Proxy-Identität |
0.0.0.0/0 |
|
IPsec-Richtlinie |
IPSEC_POL |
Zertifikate werden auf den Picozellen und der SRX-Serie gespeichert.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr ermöglicht, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Konfiguration
- Konfiguration der SRX-Serie
- Konfiguration des Intermediate-Routers
- Konfigurieren der Pico-Zelle (Beispielkonfiguration)
- Konfigurieren des RADIUS-Servers (Beispielkonfiguration mit einem FreeRADIUS)
Konfiguration der SRX-Serie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set chassis cluster reth-count 5 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 250 set chassis cluster redundancy-group 0 node 1 priority 150 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/1 weight 255 set interfaces ge-3/0/0 gigether-options redundant-parent reth0 set interfaces ge-3/0/1 gigether-options redundant-parent reth1 set interfaces ge-3/2/0 gigether-options redundant-parent reth2 set interfaces ge-3/2/1 gigether-options redundant-parent reth3 set interfaces ge-8/0/0 gigether-options redundant-parent reth0 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/2/0 gigether-options redundant-parent reth2 set interfaces ge-8/2/1 gigether-options redundant-parent reth3 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.2.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.3.3.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 192.168.2.20/24 set interfaces reth3 redundant-ether-options redundancy-group 1 set interfaces reth3 unit 0 family inet address 192.168.3.20/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.12.1.20/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.13.1.20/24 set routing-options static route 10.1.0.0/16 next-hop 10.2.2.253 set routing-options static route 10.5.0.0/16 next-hop 10.2.2.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone oam-trust host-inbound-traffic system-services all set security zones security-zone oam-trust host-inbound-traffic protocols all set security zones security-zone oam-trust interfaces reth2.0 set security zones security-zone oam-trust interfaces st0.0 set security zones security-zone 3gpp-trust host-inbound-traffic system-services all set security zones security-zone 3gpp-trust host-inbound-traffic protocols all set security zones security-zone 3gpp-trust interfaces reth3.0 set security zones security-zone 3gpp-trust interfaces st0.1 set access profile radius_pico authentication-order radius set access profile radius_pico radius-server 192.168.2.22 secret "$ABC123" set access profile radius_pico radius-server 192.168.2.22 routing-instance VR-OAM set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate example_SRX set security ike gateway OAM_GW ike-policy IKE_POL set security ike gateway OAM_GW dynamic hostname .pico_cell.net set security ike gateway OAM_GW dynamic ike-user-type group-ike-id set security ike gateway OAM_GW local-identity hostname srx_series.example.net set security ike gateway OAM_GW external-interface reth0.0 set security ike gateway OAM_GW aaa access-profile radius_pico set security ike gateway OAM_GW version v2-only set security ike gateway 3GPP_GW ike-policy IKE_POL set security ike gateway 3GPP_GW dynamic distinguished-name wildcard OU=pico_cell set security ike gateway 3GPP_GW dynamic ike-user-type group-ike-id set security ike gateway 3GPP_GW local-identity distinguished-name wildcard OU=srx_series set security ike gateway 3GPP_GW external-interface reth1.0 set security ike gateway 3GPP_GW aaa access-profile radius_pico set security ike gateway 3GPP_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec proposal IPSEC_PROP lifetime-seconds 300 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn OAM_VPN bind-interface st0.0 set security ipsec vpn OAM_VPN ike gateway OAM_GW set security ipsec vpn OAM_VPN ike proxy-identity local 192.168.2.0/24 set security ipsec vpn OAM_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn OAM_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn 3GPP_VPN bind-interface st0.1 set security ipsec vpn 3GPP_VPN ike gateway 3GPP_GW set security ipsec vpn 3GPP_VPN ike proxy-identity local 192.168.3.0/24 set security ipsec vpn 3GPP_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn 3GPP_VPN ike ipsec-policy IPSEC_POL set routing-instances VR-OAM instance-type virtual-router set routing-instances VR-OAM interface reth2.0 set routing-instances VR-OAM interface st0.0 set routing-instances VR-3GPP instance-type virtual-router set routing-instances VR-3GPP interface reth3.0 set routing-instances VR-3GPP interface st0.1 set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die SRX-Serie:
-
Konfigurieren Sie den Gehäuse-Cluster.
[edit chassis cluster] user@host# set reth-count 5 user@host# set node 0 user@host# set node 1 user@host#set redundancy-group 0 node 0 priority 250 user@host#set redundancy-group 0 node 1 priority 150 user@host#set redundancy-group 1 node 0 priority 220 user@host#set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-3/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/1 weight 255
-
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-3/0/0 gigether-options redundant-parent reth0 user@host# set ge-3/0/1 gigether-options redundant-parent reth1 user@host# set ge-3/2/0 gigether-options redundant-parent reth2 user@host# set ge-3/2/1 gigether-options redundant-parent reth3 user@host# set ge-8/0/0 gigether-options redundant-parent reth0 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/2/0 gigether-options redundant-parent reth2 user@host# set ge-8/2/1 gigether-options redundant-parent reth3 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 10.2.2.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.3.3.1/24 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth2 unit 0 family inet address 192.168.2.20/24 user@host# set reth3 redundant-ether-options redundancy-group 1 user@host# set reth3 unit 0 family inet address 192.169.3.20/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.12.1.20/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.13.1.20/24
-
Konfigurieren Sie Routing-Optionen.
[edit routing-options] user@host# set static route 10.1.0.0/16 next-hop 10.2.2.253 user@host# set static route 10.5.0.0/16 next-hop 10.2.2.253
-
Geben Sie Sicherheitszonen an.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces reth0.0 user@host# set interfaces reth1.0 [edit security zones security-zone oam-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth2.0 user@host# set interfaces st0.0 [edit security zones security-zone 3gpp-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth3.0 user@host# set interfaces st0.1
-
Erstellen Sie das RADIUS-Profil.
[edit access profile radius_pico] user@host# set authentication-order radius user@host# set radius-server 192.168.2.22 secret “$ABC123” user@host# set radius-server 192.168.2.22 routing-instance VR-OAM
-
Konfigurieren Sie Phasen-1-Optionen.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate example_SRX [edit security ike gateway OAM_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname .pico_cell.net user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity hostname srx.example.net user@host# set external-interface reth0.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only [edit security ike gateway 3GPP_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=pico_cell user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name wildcard OU=srx_series user@host# set external-interface reth1.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only
-
Geben Sie Phasen-2-Optionen an.
[edit set security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn OAM_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway OAM_GW user@host# set ike proxy-identity local 192.168.2.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL [edit security ipsec vpn 3GPP_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway 3GPP_GW user@host# set ike proxy-identity local 192.168.3.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL
-
Geben Sie die Routing-Instanzen an.
[edit routing-instances VR-OAM] user@host# set instance-type virtual router user@host# set interface reth2.0 user@host# set interface st0.0 [edit routing-instances VR-3GPP] user@host# set instance-type virtual router user@host# set interface reth3.0 user@host# set interface st0.1
-
Geben Sie Sicherheitsrichtlinien an, um den Standort-zu-Standort-Datenverkehr zu erlauben.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show chassis clusterBefehle , show interfaces, show security zones, show security ipsecshow routing-instancesshow access profile radius_picoshow security ikeund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show chassis cluster
reth-count 5
node 0
node 1
redundancy-group 0{
node 0 priority 250;
node 1 priority 150;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-3/0/0 weight 255;
ge-8/0/0 weight 255;
ge-3/0/1 weight 255;
ge-8/0/1 weight 255;
ge-3/2/0 weight 255;
ge-8/2/0 weight 255;
ge-3/2/1 weight 255;
ge-8/2/1 weight 255;
}
}
[edit]
user@host# show interfaces
ge-3/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-3/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-3/2/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-3/2/1 {
gigether-options {
redundant-parent reth3;
}
}
ge-8/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/2/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-8/2/1 {
gigether-options {
redundant-parent reth3;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.3.3.1/24;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.2.20/24;
}
}
}
reth3 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.3.20/24;
}
}
}
st0 {
unit 0{
multipoint;
family inet {
address 12.12.1.20/24;
}
}
unit 1{
multipoint;
family inet {
address 13.13.1.20/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.1.0.0/16 next-hop 10.2.2.253;
route 10.5.0.0/16 next-hop 10.2.2.253;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
reth0.0;
}
}
security-zone oam-trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth2.0;
st0.0;
}
}
security-zone 3gpp-trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth3.0;
st0.1;
}
}
[edit]
user@host# show access profile radius_pico
authentication-order radius;
radius-server {
192.168.2.22 {
secret "$ABC123";
routing-instance VR-OAM;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate example_SRX;
}
}
gateway OAM_GW {
ike-policy IKE_POL;
dynamic {
hostname .pico_cell.net;
ike-user-type group-ike-id;
}
local-identity hostname srx_series.example.net;
external-interface reth0.0;
aaa access-profile radius_pico;
version v2-only;
}
gateway 3GPP_GW {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=pico_cell;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface reth1.0;
aaa access-profile radius_pico;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
lifetime-seconds 300;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn OAM_VPN {
bind-interface st0.0;
ike {
gateway OAM_GW;
proxy-identity {
local 192.168.2.0/24;
remote 0.0.0.0/0;
}
ipsec-policy IPSEC_POL;
}
}
vpn 3GPP_VPN {
bind-interface st0.1;
ike {
gateway 3GPP_GW;
proxy-identity {
local 192.168.3.0/24;
remote 0.0.0.0/0;
}
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show routing-instances
VR-OAM {
instance-type virtual-router;
interface reth2.0;
interface st0.0;
}
VR-3GPP {
instance-type virtual-router;
interface reth3.0;
interface st0.1;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration des Intermediate-Routers
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.253/24 set interfaces ge-0/0/2 unit 0 family inet address 10.5.5.253/24 set interfaces ge-0/0/14 unit 0 family inet address 10.3.3.253/24 set interfaces ge-0/0/15 unit 0 family inet address 10.2.2.253/24 set routing-options static route 192.168.3.0/24 next-hop 10.2.2.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/14.0 set security zones security-zone trust interfaces ge-0/0/15.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie den Zwischenrouter:
-
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.253/24 user@host# set ge-0/0/2 unit 0 family inet address 10.5.5.253/24 user@host# set ge-0/0/14 unit 0 family inet address 10.3.3.253/24 user@host# set ge-0/0/15 unit 0 family inet address 10.2.2.253/24
-
Konfigurieren Sie Routing-Optionen.
[edit routing-options] user@host# set static route 192.168.3.0/24 next-hop 10.2.2.1
-
Geben Sie Sicherheitszonen an.
[edit security zones security-zone trust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces ge-0/0/14.0 user@host# set interfaces ge-0/0/15.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0
-
Sicherheitsrichtlinien angeben.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, show security zonesund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.1.253/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.5.5.253/24;
}
}
}
ge-0/0/14 {
unit 0 {
family inet {
address 10.3.3.253/24;
}
}
}
ge-0/0/15 {
unit 0 {
family inet {
address 10.2.2.253/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.168.3.0/24 next-hop 10.2.2.1;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/14.0;
ge-0/0/15.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
ge-0/0/2.0;
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren der Pico-Zelle (Beispielkonfiguration)
Schritt-für-Schritt-Verfahren
Die Picozelleninformationen in diesem Beispiel werden als Referenz bereitgestellt. Detaillierte Informationen zur Picozellenkonfiguration sprengen den Rahmen dieses Dokuments. Die Picozellen-Fabrikkonfiguration muss die folgenden Informationen enthalten:
-
Lokales Zertifikat (X.509v3) und IKE-Identitätsinformationen
-
Traffic Selector (TSi, TSr) Werte auf Any/Any (0.0.0.0/0) festgelegt
-
IKE-Informationen der SRX-Serie und öffentliche IP-Adresse
-
Vorschläge für Phase 1 und Phase 2, die der Konfiguration der SRX-Serie entsprechen
Die Picozellen in diesem Beispiel verwenden starkeSwan-Open-Source-Software für IPsec-basierte VPN-Verbindungen. Diese Informationen werden von der SRX-Serie für die Bereitstellung von Picozellen mithilfe der IKEv2-Konfigurations-Nutzdatenfunktion verwendet. In Netzwerken, in denen viele Geräte bereitgestellt werden, kann die Pico-Zellenkonfiguration mit Ausnahme der Zertifikatsinformationen (leftcert) und Identität (leftid) identisch sein. Die folgenden Beispielkonfigurationen veranschaulichen die Werkseinstellungen.
-
Überprüfen Sie die Pico 1-Konfiguration:
Pico 1: Beispielkonfiguration
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico1.pico_cell.net leftfirewall=yes reauth=yes right=10.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1” leftfirewall=yes reauth=yes right=10.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add -
Überprüfen Sie die Pico 2-Konfiguration:
Pico 2-Beispielkonfiguration
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico2.pico_cell.net leftfirewall=yes #reauth=no right=10.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico2” leftfirewall=yes #reauth=no right=10.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add
Konfigurieren des RADIUS-Servers (Beispielkonfiguration mit einem FreeRADIUS)
Schritt-für-Schritt-Verfahren
Die RADIUS-Serverinformationen in diesem Beispiel werden zur Referenz bereitgestellt. Vollständige RADIUS-Serverkonfigurationsinformationen sprengen den Rahmen dieses Dokuments. Die folgenden Informationen werden vom RADIUS-Server an die SRX-Serie zurückgegeben:
-
Framed-IP-Adresse
-
Framed-IP-Netmask (optional)
-
Primary-DNS und Secondary-DNS (optional)
In diesem Beispiel verfügt der RADIUS-Server über separate Bereitstellungsinformationen für die OAM- und 3GPP-Verbindungen. Der Benutzername wird aus den Client-Zertifikatsinformationen entnommen, die in der Autorisierungsanfrage der SRX-Serie bereitgestellt werden.
Wenn der RADIUS-Server Clientbereitstellungsinformationen von einem DHCP-Server erfasst, müssen die Client-Identitätsinformationen, die vom RADIUS-Server an den DHCP-Server weitergeleitet werden, mit den Client-IKE-Identitätsinformationen übereinstimmen, die von der Firewall der SRX-Serie an den RADIUS-Server weitergeleitet werden. Dadurch wird die Kontinuität der Clientidentität über die verschiedenen Protokolle hinweg gewährleistet.
Der Kommunikationskanal zwischen der Firewall der SRX-Serie und dem RADIUS-Server ist durch einen gemeinsam genutzten RADIUS-Schlüssel geschützt.
-
Überprüfen Sie die RADIUS-Konfiguration für pico 1 OAM VPN. Der RADIUS-Server verfügt über die folgenden Informationen:
RADIUS-Beispielkonfiguration in Junos OS-Versionen 12.3X48 und Junos OS vor 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:
FreeRADIUS-Konfigurationsbeispiel:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 10.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,RADIUS-Beispielkonfiguration ab Junos OS-Versionen 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:
FreeRADIUS-Konfigurationsbeispiel:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 10.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,In diesem Fall stellt der RADIUS-Server die Standard-Subnet-Maske (255.255.255.255) bereit, die den intrapeeren Datenverkehr blockiert.
-
Überprüfen Sie die RADIUS-Konfiguration für Pico 1 3GPP VPN. Der RADIUS-Server verfügt über die folgenden Informationen:
RADIUS-Beispielkonfiguration in Junos OS-Versionen 12.3X48 und Junos OS vor 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:
FreeRADIUS-Konfigurationsbeispiel:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 10.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,RADIUS-Beispielkonfiguration ab Junos OS-Versionen 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:
FreeRADIUS-Konfigurationsbeispiel:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 10.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,In diesem Fall stellt der RADIUS-Server einen Subnetzmaskenwert (255.255.0.0) bereit, der intrapeeren Datenverkehr ermöglicht.
Ab Junos OS Version 20.1R1 können Sie ein gemeinsames Kennwort für IKEv2-Konfigurations-Nutzdatenanforderungen für eine IKE-Gateway-Konfiguration konfigurieren. Das gemeinsame Passwort im Bereich von 1 bis 128 Zeichen ermöglicht es dem Administrator, ein gemeinsames Passwort zu definieren. Dieses Kennwort wird zwischen der Firewall der SRX-Serie und dem RADIUS-Server verwendet, wenn die Firewall der SRX-Serie im Auftrag eines Remote-IPsec-Peers mit IKEv2-Konfigurationsnutzlast eine IP-Adresse anfordert. DER RADIUS-Server validiert die Anmeldeinformationen, bevor er der Firewall der SRX-Serie ip-Informationen für die Konfigurations-Nutzdatenanforderung bereitstellt. Sie können das gemeinsame Kennwort mithilfe der
config-payload-password configured-passwordKonfigurationsaussage auf[edit security ike gateway gateway-name aaa access-profile access-profile-name]Hierarchieebene konfigurieren. Darüber hinaus werden in diesem Beispiel zwei Tunnel aus demselben Clientzertifikat erstellt, indem verschiedene Teile des Zertifikats für IKE-Informationen (User-Name) verwendet werden.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des IKE Phase 1-Status für die SRX-Serie
- Überprüfung von IPsec-Sicherheitszuordnungen für die SRX-Serie
Überprüfung des IKE Phase 1-Status für die SRX-Serie
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Geben Sie im Betriebsmodus auf Knoten 0 den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host# show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 553329718 UP 99919a471d1a5278 3be7c5a49172e6c2 IKEv2 10.1.1.1 1643848758 UP 9e31d4323195a195 4d142438106d4273 IKEv2 10.1.1.1
user@host# show security ike security-associations index 553329718 detail node0: -------------------------------------------------------------------------- IKE peer 10.1.1.1, Index 553329718, Gateway Name: OAM_GW Location: FPC 2, PIC 0, KMD-Instance 1 Role: Responder, State: UP Initiator cookie: 99919a471d1a5278, Responder cookie: 3be7c5a49172e6c2 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 10.2.2.1:500, Remote: 10.1.1.1:500 Lifetime: Expires in 28738 seconds Peer ike-id: C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1 aaa assigned IP: 10.12.1.201 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2104 Output bytes : 425 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs mit Picozellengeräten auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Dieses Beispiel zeigt nur die IKE Phase 1 SA für OAM VPN; es wird jedoch eine separate IKE Phase 1 SA angezeigt, die die IKE Phase-1-Parameter für das 3GPP-VPN anzeigt.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
-
Index: Dieser Wert ist für jede IKE SA eindeutig: können Sie den
show security ike security-associations index detailBefehl verwenden, um weitere Informationen über die SA zu erhalten. -
Remoteadresse: Stellen Sie sicher, dass die lokale IP-Adresse korrekt ist und dass Port 500 für die Peer-to-Peer-Kommunikation verwendet wird.
-
Rollen-Responder-Status:
-
Up: Phase 1 SA wurde eingerichtet.
-
Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
-
-
Peer(Remote)-IKE-ID: Stellen Sie sicher, dass die Zertifikatsinformationen korrekt sind.
-
Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese Adressen korrekt sind.
-
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass die folgenden Elemente in Ihrer Konfiguration korrekt sind:
-
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete sendet)
-
IKE-Richtlinienparameter
-
Phase-1-Vorschlagsparameter (müssen zwischen Peers übereinstimmen)
Der show security ike security-associations Befehl listet die folgenden zusätzlichen Informationen zu Sicherheitszuordnungen auf:
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Phase 1 Lebensdauer
-
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
-
Rolleninformationen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
-
Informationen zu Initiatoren und Responder
-
Anzahl der erstellten IPsec-SAs
-
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfung von IPsec-Sicherheitszuordnungen für die SRX-Serie
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus auf Knoten 0 den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host# show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <214171651 ESP:aes-cbc-256/sha1 cc2869e2 3529/ - root 500 10.1.1.1 >214171651 ESP:aes-cbc-256/sha1 c0a54936 3529/ - root 500 10.1.1.1 <205520899 ESP:aes-cbc-256/sha1 84e49026 3521/ - root 500 10.1.1.1 >205520899 ESP:aes-cbc-256/sha1 c4ed1849 3521/ - root 500 10.1.1.1
user@host# show security ipsec security-associations detail
node0:
--------------------------------------------------------------------------
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x604a29
Last Tunnel Down Reason: SA not initiated
ID: 214171651 Virtual-system: root, VPN Name: 3GPP_VPN
Local Gateway: 10.3.3.1, Remote Gateway: 10.1.1.1
Local Identity: list(any:0,ipv4_subnet(any:0-65535,[0..7]=192.168.3.0/24), ipv4_subnet(any:0-65535,[0..7]=10.13.0.0/16))
Remote Identity: ipv4(any:0,[0..3]=10.13.1.201)
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29
Last Tunnel Down Reason: SA not initiated
Location: FPC 6, PIC 0, KMD-Instance 2
Direction: inbound, SPI: cc2869e2, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3523 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2965 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Location: FPC 6, PIC 0, KMD-Instance 2
Direction: outbound, SPI: c0a54936, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3523 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2965 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
ID: 205520899 Virtual-system: root, VPN Name: OAM_VPN
Local Gateway: 10.2.2.1, Remote Gateway: 10.1.1.1
Local Identity: ipv4_subnet(any:0-65535,[0..7]=192.168.2.0/24)
Remote Identity: ipv4(any:0,[0..3]=10.12.1.201)
Version: IKEv2
DF-bit: clear
Bind-interface: st0.0
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29
Last Tunnel Down Reason: SA not initiated
Location: FPC 2, PIC 0, KMD-Instance 1
Direction: inbound, SPI: 84e49026, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3515 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2933 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Location: FPC 2, PIC 0, KMD-Instance 1
Direction: outbound, SPI: c4ed1849, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3515 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2933 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Dieses Beispiel zeigt die aktiven IKE Phase 2-SAs für Pico 1. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie die IPsec-Richtlinienparameter in Ihrer Konfiguration. Für jede Phase 2 SA (OAM und 3GPP) werden Informationen sowohl in eingehender als auch in outboard-Richtung bereitgestellt. Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
-
Das Remote-Gateway hat eine IP-Adresse von 10.1.1.1.
-
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3529/zeigt an, dass die Lebensdauer der Phase 2 in 3529 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer von Phase 2 kann von der Lebensdauer der Phase 1 abweichen, da Phase 2 nicht von Phase 1 nach dem Vpn abhängig ist.
-
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.
-
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Die obige Ausgabe des show security ipsec security-associations index index_id detail Befehls listet die folgenden Informationen auf:
-
Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.
Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen.
-
Phase-2-Vorschlagsparameter (müssen zwischen Peers übereinstimmen).
-
Sichere Tunnelbindungen (st0.0 und st0.1) an die OAM- und 3GPP-Gateways.
IKE-Richtlinie mit einer vertrauenswürdigen CA
Dieses Beispiel zeigt, wie sie einen vertrauenswürdigen CA-Server an eine IKE-Richtlinie des Peers binden.
Bevor Sie beginnen, benötigen Sie eine Liste aller vertrauenswürdigen CAs, die Sie mit der IKE-Richtlinie des Peers verknüpfen möchten.
Sie können eine IKE-Richtlinie einem einzelnen vertrauenswürdigen CA-Profil oder einer vertrauenswürdigen CA-Gruppe zuordnen. Für den Aufbau einer sicheren Verbindung verwendet das IKE-Gateway die IKE-Richtlinie, um sich auf die konfigurierte Gruppe von CAs (Ca-Profile) zu beschränken und gleichzeitig das Zertifikat zu validieren. Ein Zertifikat, das von einer anderen Quelle als der vertrauenswürdigen Zertifizierungsstelle oder der vertrauenswürdigen CA-Gruppe ausgestellt wird, wird nicht validiert. Wenn eine Anforderung zur Zertifikatsvalidierung von einer IKE-Richtlinie kommt, validiert das entsprechende CA-Profil der IKE-Richtlinie das Zertifikat. Wenn eine IKE-Richtlinie keiner Zertifizierungsstelle zugeordnet ist, wird das Zertifikat standardmäßig durch eines der konfigurierten CA-Profile validiert.
In diesem Beispiel wird ein CA-Profil erstelltroot-ca-identity, das dem Profil zugeordnet root-ca ist.
Sie können maximal 20 CA-Profile konfigurieren, die Sie einer vertrauenswürdigen CA-Gruppe hinzufügen möchten. Sie können ihre Konfiguration nicht festlegen, wenn Sie mehr als 20 CA-Profile in einer vertrauenswürdigen CA-Gruppe konfigurieren.
Führen show security pki Sie den Befehl aus, um die CA-Profile und die vertrauenswürdigen CA-Gruppen anzuzeigen, die auf Ihrem Gerät konfiguriert sind.
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
Der show security ike Befehl zeigt die CA-Profilgruppe unter der benannten ike_policy IKE-Richtlinie und dem Zertifikat an, das der IKE-Richtlinie zugeordnet ist.