Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Routenbasiertes VPN mit IKEv2

Internet Key Exchange Version 2 (IKEv2) ist ein IPsec-basiertes Tunneling-Protokoll, das einen sicheren VPN-Kommunikationskanal zwischen Peer-VPN-Geräten bereitstellt und die Aushandlung und Authentifizierung für IPsec-Sicherheitszuordnungen (SAs) auf geschützte Weise definiert.

Beispiel: Konfigurieren eines routenbasierten VPN für IKEv2

In diesem Beispiel wird gezeigt, wie ein routenbasiertes IPsec-VPN so konfiguriert wird, dass Daten sicher zwischen einer Zweigstelle und einer Unternehmensniederlassung übertragen werden können.

Anforderungen

In diesem Beispiel wird folgende Hardware verwendet:

  • SRX240-Gerät

  • SSG140-Gerät

Bevor Sie beginnen, lesen Sie IPsec-Übersicht.

Überblick

In diesem Beispiel konfigurieren Sie ein routenbasiertes VPN für eine Zweigstelle in Chicago, Illinois, weil Sie Tunnelressourcen einsparen möchten, aber dennoch granulare Einschränkungen des VPN-Datenverkehrs erhalten möchten. Benutzer in der Niederlassung in Chicago nutzen das VPN, um sich mit ihrer Hauptniederlassung in Sunnyvale, Kalifornien, zu verbinden.

In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute, Sicherheitszonen und Adressbücher. Dann konfigurieren Sie IKE Phase 1, IPsec Phase 2, eine Sicherheitsrichtlinie und TCP-MSS-Parameter. Sehen Sie sich Tabelle 1Tabelle 5 in diesem Beispiel bestimmte Konfigurationsparameter an.

Tabelle 1: Schnittstelle, statische Route, Sicherheitszone und Adressbuchinformationen

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (Tunnelschnittstelle)

10.11.11.10/24

Statische Routen

0.0.0.0/0 (Standardroute)

Der nächste Hop ist 10.1.1.1.

192.168.168.0/24

Der nächste Hop ist st0.0.

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die Ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

nicht vertrauenswürdig

  • IKE ist der einzige zulässige Systemdienst.

  • Die Ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

VPN-Chicago

Die St0.0-Schnittstelle ist an diese Zone gebunden.

Adressbucheinträge

Sunnyvale

  • Diese Adresse ist für das Adressbuch der Vertrauenszone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.10.0/24.

Chicago

  • Diese Adresse ist für das Adressbuch der nicht vertrauenswürdigen Zone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.168.0/24.

Tabelle 2: Konfigurationsparameter für IKE Phase 1

Funktion

Name

Konfigurationsparameter

Vorschlag

ike-phase1-proposal

  • Authentifizierungsmethode: pre-shared-keys

  • Diffie-Hellman-Gruppe: group2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc

Richtlinien

ike-phase1-policy

  • Modus: Wichtigsten

  • Vorschlagsreferenz: IKE Phase 1-Vorschlag

  • IKE Phase 1-Richtlinienauthentifizierungsmethode: pre-shared-key ascii-text

Gateway

gw-chicago

  • IKE-Richtlinienreferenz: IKE-Phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.2.2.2

Tabelle 3: IPsec Phase 2-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec-phase2-proposal

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc

Richtlinien

ipsec-phase2-policy

  • Vorschlagsreferenz: IPsec-Phase2-Vorschlag

  • PFS: Diffie-Hellman Group2

VPN

IPSec-VPN-Chicago

  • IKE-Gateway-Referenz: gw-chicago

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • Bindung an Schnittstelle: st0.0

Tabelle 4: Konfigurationsparameter für Sicherheitsrichtlinien

Zweck

Name

Konfigurationsparameter

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der Trust-Zone zur VPN-Chicago-Zone.

vpn-tr-chi

  • Übereinstimmungskriterien:

    • Quelladresse Sunnyvale

    • Zieladresse Chicago

    • Anwendung beliebig

  • Aktion: Genehmigung

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der VPN-Chicago-Zone zur Trust-Zone.

VPN-Chi-Tr

  • Übereinstimmungskriterien:

    • Quelladresse Chicago

    • Zieladresse Sunnyvale

    • Anwendung beliebig

  • Aktion: Genehmigung

Tabelle 5: TCP-MSS-Konfigurationsparameter

Zweck

Konfigurationsparameter

TCP-MSS wird im Rahmen des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um die MTU-Grenzwerte für ein Netzwerk besser zu erreichen. Beim VPN-Datenverkehr kann der IPsec-Einkapselungs-Overhead zusammen mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle übersteigt, was zu einer Fragmentierung führt. Fragmentierung erhöht die Bandbreite und Geräteressourcen.

Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von mindestens 1500. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Sie können beispielsweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU hat oder wenn ein zusätzlicher Overhead wie PPP oder Frame Relay vorhanden ist.

MSS-Wert: 1350

Konfiguration

Konfiguration von Schnittstelle, statischer Route, Sicherheitszone und Adressbuchinformationen

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Schnittstellen-, statische Routen-, Sicherheitszone- und Adressbuchinformationen:

  1. Konfigurieren Sie Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die Sicherheitszone an.

  6. Konfigurieren Sie die Sicherheitszone "Trust".

  7. Weisen Sie der Sicherheitszone Trust eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Sicherheitszone Trust an.

  9. Konfigurieren Sie den Adressbucheintrag für die Sicherheitszone Trust.

  10. Konfigurieren Sie die VPN-Chicago-Sicherheitszone.

  11. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  12. Konfigurieren Sie den Adressbucheintrag für die VPN-Chicago-Zone.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security zones Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von IKE

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE:

  1. Erstellen Sie den IKE Phase 1-Vorschlag.

  2. Definieren Sie die IKE-Authentifizierungsmethode für Vorschläge.

  3. Beschreiben Sie den IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Beschreiben Sie den IKE-Authentifizierungsalgorithmus für Vorschläge.

  5. Beschreiben Sie den IKE-Algorithmus für die Vorschlagsverschlüsselung.

  6. Erstellen Sie eine IKE Phase 1-Richtlinie.

  7. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  8. Definieren Sie die IKE Phase 1-Richtlinienauthentifizierungsmethode.

  9. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie die externe Schnittstelle.

  10. Definieren Sie die IKE Phase 1-Richtlinienreferenz.

  11. Definieren Sie die IKE Phase 1-Gateway-Adresse.

  12. Beschreiben Sie die IKE Phase 1 Gateway-Version.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ike Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von IPsec

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec:

  1. Erstellen Sie einen IPsec Phase 2-Vorschlag.

  2. Geben Sie das IPsec Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den Algorithmus für die IPsec-Phase 2-Verschlüsselung an.

  5. Erstellen Sie die IPsec Phase 2-Richtlinie.

  6. Geben Sie die IPsec Phase 2-Vorschlagsreferenz an.

  7. Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.

  8. Geben Sie das IKE-Gateway an.

  9. Geben Sie die IPsec Phase 2-Richtlinie an.

  10. Geben Sie die zu bindene Schnittstelle an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust-Zone zur VPN-Chicago-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Chicago-Zone zur Trust-Zone zuzulassen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von TCP-MSS

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie TCP-MSS-Informationen:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security flow Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration des Geräts der SSG-Serie

CLI-Schnellkonfiguration

Als Referenz wird die Konfiguration für das Gerät der SSG-Serie bereitgestellt. Informationen zur Konfiguration von Geräten der SSG-Serie finden Sie im ScreenOS-Referenzhandbuch "Konzepte und Beispiele", das sich unter https://www.juniper.net/documentation befindet.

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Phase 1-Status

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Bevor Sie mit der Überprüfung beginnen, müssen Sie Datenverkehr von einem Host im 192.168.10/24-Netzwerk an einen Host im 192.168.168/24-Netzwerk senden. Bei routenbasierten VPNs kann der Datenverkehr vom Gerät der SRX-Serie über den Tunnel eingeleitet werden. Wir empfehlen, dass beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf einer Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN gesendet wird. Initiieren Sie beispielsweise einen Ping von 192.168.10.10 bis 192.168.168.10.

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie den Befehl, nachdem Sie eine Indexnummer aus dem show security ike security-associations index index_number detail Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist eindeutig für jede IKE SA, die Sie im show security ike security-associations index detail Befehl verwenden können, um weitere Informationen über die SA zu erhalten.

  • Remote-Adresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.

  • Bundesland

    • UP – Phase 1 SA wurde eingerichtet.

    • DOWN: Es gab ein Problem bei der Einrichtung von Phase 1 SA.

  • Modus – Vergewissern Sie sich, dass der richtige Modus verwendet wird.

Vergewissern Sie sich, dass in Ihrer Konfiguration Folgendes korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die IKE-Pakete empfängt).

  • IKE-Richtlinienparameter.

  • Wichtige Informationen vorab angegeben.

  • Vorschlagsparameter der Phase 1 (müssen auf beiden Peers übereinstimmen).

Der show security ike security-associations index 1 detail Befehl listet zusätzliche Informationen über die SA mit einer Indexnummer von 1 auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1-Lebensdauer

  • Datenverkehrsstatistiken (können zur Überprüfung des ordnungsgemäßen Datenverkehrsflusses in beide Richtungen verwendet werden)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mithilfe der Responder-Rolle durchgeführt.

  • Informationen zu Initiator und Responder

  • Anzahl der erstellten IPsec-SAs

Überprüfen des IPsec Phase 2-Status

Zweck

Überprüfen Sie den IPsec Phase 2-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie den Befehl, nachdem Sie eine Indexnummer aus dem show security ipsec security-associations index index_number detail Befehl erhalten haben.

Bedeutung

Die Ausgabe aus dem show security ipsec security-associations Befehl listet die folgenden Informationen auf:

  • Die ID-Nummer ist 16384. Verwenden Sie diesen Wert mit dem show security ipsec security-associations index Befehl, um weitere Informationen zu dieser bestimmten SA zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (bzw. lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert "3363/unlim" gibt an, dass die Lebensdauer der Phase 2 in 3363 Sekunden abläuft und keine Lebensgröße angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer von Phase 2 kann von der Lebensdauer der Phase 1 abweichen, da Phase 2 nicht von Phase 1 nach dem Einschalten des VPN abhängt.

  • Der vsys ist das Root-System und wird immer als 0 aufgeführt.

  • Der IKEv2 ermöglicht Verbindungen von einem Peer der Version 2 und initiiert eine Aushandlung der Version 2.

Die Ausgabe aus dem show security ipsec security-associations index 16384 detail Befehl listet die folgenden Informationen auf:

  • Die lokale Identität und die Remote-Identität bilden die Proxy-ID für die SA.

    Eine Proxy-ID-Mismatch ist eine der häufigsten Ursachen für einen Fehler in Phase 2. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass Phase 2-Vorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können mit mehreren routenbasierten VPNs von der gleichen Peer-IP auftreten. In diesem Fall muss eine eindeutige Proxy-ID für jede IPsec-SA angegeben werden. Für einige Drittanbieter muss die Proxy-ID manuell eingegeben werden, um die Übereinstimmung zu ermöglichen.

  • Ein weiterer häufiger Grund für einen Fehler in Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.

Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung

Zweck

Überprüfen Sie ESP- und Authentifizierungs-Headerzähler und -Fehler auf eine IPsec-SA.

Aktion

Geben Sie im Betriebsmodus den show security ipsec statistics index index_number Befehl unter Verwendung der Indexnummer des VPN ein, für das Statistiken angezeigt werden sollen.

Sie können den show security ipsec statistics Befehl auch verwenden, um Statistiken und Fehler für alle SAs zu überprüfen.

Um alle IPsec-Statistiken zu löschen, verwenden Sie den clear security ipsec statistics Befehl.

Bedeutung

Wenn bei einem VPN Paketverluste auftreten, können Sie den Befehl oder show security ipsec statistics detail den show security ipsec statistics Befehl mehrmals ausführen, um zu bestätigen, dass die verschlüsselten und entschlüsselten Paketzähler inkrementiert sind. Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert sind.

Testen des Datenverkehrsflusses über das VPN

Zweck

Überprüfen Sie den Datenverkehrsfluss über das VPN.

Aktion

Sie können den ping Befehl vom Gerät der SRX-Serie verwenden, um den Datenverkehrsfluss zu einem Remote-Host-PC zu testen. Stellen Sie sicher, dass Sie die Quellschnittstelle angeben, damit die Routensuche korrekt ist und die entsprechenden Sicherheitszonen während der Richtliniensuche referenziert werden.

Geben Sie im Betriebsmodus den ping Befehl ein.

Sie können den ping Befehl auch über das Gerät der SSG-Serie verwenden.

Bedeutung

Wenn der ping Befehl auf dem Gerät der SRX- oder SSG-Serie ausfällt, kann es zu einem Problem mit Routing, Sicherheitsrichtlinien, Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen kommen.

Beispiel: Konfiguration der SRX-Serie für Pico Cell Provisioning mit IKEv2 Configuration Payload

In Netzwerken, in denen viele Geräte bereitgestellt werden, muss die Verwaltung des Netzwerks einfach sein. Die IKEv2-Konfigurations-Payload-Funktion unterstützt die Bereitstellung dieser Geräte, ohne die Gerätekonfiguration oder die Konfiguration der SRX-Serie zu berühren. In diesem Beispiel wird gezeigt, wie sie eine SRX-Serie zur Unterstützung der Pico Cell-Bereitstellung mithilfe der IKEv2-Konfigurations-Payload-Funktion konfigurieren.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Geräte der SRX-Serie, die in einem Gehäuse-Cluster konfiguriert sind

  • Ein Gerät der SRX-Serie, das als Intermediate-Router konfiguriert ist

  • Zwei Pico-Cell-Clients

  • Ein RADIUS-Server, konfiguriert mit Pico Cell-Clientbereitstellungsinformationen

  • Junos OS-Version 12.1X46-D10 oder höher für IKEv2-Konfigurations-Payload-Unterstützung

Überblick

In diesem Beispiel verwendet eine SRX-Serie die IKEv2-Konfigurationsnutzlastfunktion, um Bereitstellungsinformationen an eine Reihe von Pico-Zellen weiterzuverbreiten. Die pico Zellen werden ab Werk mit einer Standardkonfiguration geliefert, mit der sie eine Verbindung zur SRX-Serie herstellen können, aber die pico-Zellenbereitstellungsinformationen werden auf einem externen RADIUS-Server gespeichert. Die pico-Zellen erhalten vollständige Bereitstellungsinformationen, nachdem sie sichere Verbindungen mit Bereitstellungsservern in einem geschützten Netzwerk hergestellt haben. IKEv2-Konfigurations-Payload wird sowohl für IPv4 als auch für IPV6 unterstützt. Dieses Beispiel deckt den IKEv2-Konfigurations-Payload für IPv4 ab, sie können jedoch auch mit IPv6-Adressen konfiguriert werden.

Ab Junos OS Version 20.3R1 unterstützen wir IKEv2 IPv6-Konfigurations-Payload für die Zuweisung von IPv6-Adressen auf Geräten der SRX5000-Reihe, auf denen der iked-Prozess ausgeführt wird. Die gleiche Unterstützung ist in vSRX enthalten, auf dem der iked-Prozess ab Junos OS-Version 21.1R1 ausgeführt wird.

Abbildung 1 zeigt eine Topologie, in der die SRX-Serie die Pico Cell-Bereitstellung mithilfe der IKEv2-Konfigurations-Payload-Funktion unterstützt.

Abbildung 1: Unterstützung der SRX-Serie für Pico Cell Provisioning mit IKEv2-Konfigurationsnutzlast Unterstützung der SRX-Serie für Pico Cell Provisioning mit IKEv2-Konfigurationsnutzlast

Jede pico-Zelle in dieser Topologie initiiert zwei IPsec-VPNs: eine für die Verwaltung und eine für Daten. In diesem Beispiel verwendet der Verwaltungsdatenverkehr den tunnelbeschrifteten OAM-Tunnel, während der Datenverkehr durch den tunnelbeschrifteten 3GPP-Tunnel fließt. Jeder Tunnel unterstützt Verbindungen mit OAM- und 3GPP-Bereitstellungsservern in separaten, konfigurierbaren Netzwerken, die separate Routing-Instanzen und VPNs erfordern. In diesem Beispiel werden die IKE Phase 1- und Phase 2-Optionen für die Einrichtung von OAM- und 3GPP-VPNs erläutert.

In diesem Beispiel fungiert die SRX-Serie als IKEv2-Konfigurations-Nutzlastserver, erfasst Bereitstellungsinformationen vom RADIUS-Server und stellt diese Informationen den pico Cell-Clients zur Verfügung. Die SRX-Serie gibt die Bereitstellungsinformationen für jeden autorisierten Client in der IKEv2-Konfigurationsnutzlast während der Tunnel-Erkennung zurück. Die SRX-Serie kann nicht als Clientgerät verwendet werden.

Darüber hinaus verwendet die SRX-Serie die IKEv2-Konfigurationsnutzdaten, um die Werte des Traffic Selector Initiator (TSi) und des Traffic Selector Responder (TSr) zu aktualisieren, die während der Tunnel-Erkennung mit dem Client ausgetauscht werden. Die Konfigurationsnutzlast verwendet die TSi- und TSr-Werte, die auf der SRX-Serie unter Verwendung der proxy-identity Anweisung auf [edit security ipsec vpn vpn-name ike] Hierarchieebene konfiguriert sind. Die TSi- und TSr-Werte definieren den Netzwerkdatenverkehr für jedes VPN.

Der Zwischenrouter leitet pico Cell-Datenverkehr an die entsprechenden Schnittstellen der SRX-Serie weiter.

Der folgende Prozess beschreibt die Verbindungssequenz:

  1. Die pico cell initiiert einen IPsec-Tunnel mit der SRX-Serie mithilfe der Werkskonfiguration.

  2. Die SRX-Serie authentifiziert den Client mithilfe der Client-Zertifikatsinformationen und des Stammzertifikats der ZERTIFIZIERUNGSSTELLE, die für die SRX-Serie registriert ist. Nach der Authentifizierung übergibt die SRX-Serie in einer Autorisierungsanforderung die IKE-Identitätsinformationen vom Clientzertifikat an den RADIUS-Server.

  3. Nach der Autorisierung des Clients reagiert der RADIUS-Server mit den Clientbereitstellungsinformationen auf die SRX-Serie:

    • IP-Adresse (TSi-Wert)

    • IP-Subnetzmaske (optional; Standard 32 Bit)

    • DNS-Adresse (optional)

  4. Die SRX-Serie gibt die Bereitstellungsinformationen in der IKEv2-Konfigurationsnutzlast für jede Clientverbindung zurück und tauscht die endgültigen TSi- und TSr-Werte mit den pico-Zellen aus. In diesem Beispiel bietet die SRX-Serie für jedes VPN die folgenden TSi- und TSr-Informationen:

    VPN-Verbindung

    Von SRX bereitgestellte TSi/TSr-Werte

    Pico 1 OAM

    Tsi: 12.12.1.201/32, TSr: 192.168.2.0/24

    Pico 1 3GPP

    Tsi: 13.13.1.201/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16

    Pico 2 OAM

    Tsi: 12.12.1.205/32, TSr: 192.168.2.0/24

    Pico 2 3GPP

    Tsi: 13.13.1.205/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16

    Wenn die vom RADIUS-Server bereitgestellten Bereitstellungsinformationen eine Subnetzmaske enthalten, gibt die SRX-Serie einen zweiten TSr-Wert für die Clientverbindung zurück, die das IP-Subnetz einschließt. Dies ermöglicht die intrapeer-Kommunikation für Geräte in diesem Subnetz. In diesem Beispiel ist die intrapeer-Kommunikation für das mit dem 3GPP-VPN (13.13.0.0/16) verbundene Subnetz aktiviert.

    Die IKEv2-Konfigurations-Payload-Funktion wird sowohl für Point-to-Multipoint Secure Tunnel (st0)-Schnittstellen als auch für Punkt-zu-Punkt-Schnittstellen unterstützt. Bei Punkt-zu-Multipoint-Schnittstellen müssen die Schnittstellen nummeriert werden, und die in der Konfigurationsnutzlast angegebenen Adressen müssen sich im Subnetworkbereich der zugehörigen Point-to-Multipoint-Schnittstelle befinden.

    Ab Junos OS Version 20.1R1 unterstützen wir die IKEv2-Konfigurations-Payload-Funktion mit Point-to-Point-Schnittstellen auf Geräten der SRX5000-Reihe und vSRX, auf denen iked ausgeführt wird.

Tabelle 6 zeigt die auf der SRX-Serie konfigurierten Phase-1- und Phase 2-Optionen, einschließlich Informationen zum Einrichten von OAM- und 3GPP-Tunneln.

Tabelle 6: Optionen für Phase 1 und Phase 2 für die SRX-Serie

Option

Wert

IKE-Vorschlag:

Name des Vorschlags

IKE_PROP

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

group5

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 256 CBC

IKE-Richtlinie:

IKE-Richtlinienname

IKE_POL

Lokales Zertifikat

Example_SRX

IKE-Gateway (OAM):

IKE-Richtlinie

IKE_POL

Remote-IP-Adresse

Dynamische

IKE-Benutzertyp

group-ike-id

Lokale IKE-ID

Hostname srx_series.example.net

Remote-IKE-ID

Hostname .pico_cell.net

Externe Schnittstelle

reth0.0

Zugriffsprofil

radius_pico

IKE-Version

v2-only

IKE-Gateway (3GPP):

IKE-Richtlinie

IKE_POL

Remote-IP-Adresse

Dynamische

IKE-Benutzertyp

group-ike-id

Lokale IKE-ID

Distinguished Name Wildcard OU=srx_series

Remote-IKE-ID

Distinguished Name Wildcard OU=pico_cell

Externe Schnittstelle

Reth1

Zugriffsprofil

radius_pico

IKE-Version

Nur v2

IPsec-Vorschlag:

Name des Vorschlags

IPSEC_PROP

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC SHA-1 96

Verschlüsselungsalgorithmus

AES 256 CBC

IPsec-Richtlinie:

Richtlinienname

IPSEC_POL

Perfect Forward Secrecy (PFS)-Schlüssel

Gruppe 5

IPsec-Vorschläge

IPSEC_PROP

IPsec VPN (OAM):

Bind-Schnittstelle

st0.0

IKE-Gateway

OAM_GW

Lokale Proxy-Identität

192.168.2.0/24

Remote-Proxy-Identität

0.0.0.0/0

IPsec-Richtlinie

IPSEC_POL

IPsec VPN (3GPP):

Bind-Schnittstelle

st0.1

IKE-Gateway

3GPP_GW

Lokale Proxy-Identität

192.169.2.0/24

Remote-Proxy-Identität

0.0.0.0/0

IPsec-Richtlinie

IPSEC_POL

Zertifikate werden auf den pico-Zellen und der SRX-Serie gespeichert.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Konfiguration

Konfiguration der SRX-Serie

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die SRX-Serie:

  1. Konfigurieren Sie den Gehäuse-Cluster.

  2. Schnittstellen konfigurieren.

  3. Konfigurieren Sie Routing-Optionen.

  4. Geben Sie Sicherheitszonen an.

  5. Radius-Profil erstellen.

  6. Konfiguration von Phase 1-Optionen.

  7. Geben Sie Phase-2-Optionen an.

  8. Geben Sie die Routing-Instanzen an.

  9. Geben Sie Sicherheitsrichtlinien an, um Datenverkehr zwischen Standorten zu ermöglichen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show chassis clusterBefehle , show interfaces, show security zones, show access profile radius_picoshow security ike, show security ipsec, show routing-instancesund eingebenshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren des Intermediate Routers

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Intermediate-Router:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie Routing-Optionen.

  3. Geben Sie Sicherheitszonen an.

  4. Sicherheitsrichtlinien angeben.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show routing-optionsshow security zonesundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren der Pico Cell (Beispielkonfiguration)

Schritt-für-Schritt-Verfahren

Die Pico-Zelleninformationen in diesem Beispiel werden als Referenz bereitgestellt. Detaillierte Informationen zur Pico Cell-Konfiguration sprengen den Umfang dieses Dokuments. Die Pico Cell Factory-Konfiguration muss folgende Informationen enthalten:

  • Lokales Zertifikat (X.509v3) und IKE-Identitätsinformationen

  • Traffic Selector(TSi, TSr)-Werte auf any/any (0.0.0.0/0)

  • IKE-Identitätsinformationen der SRX-Serie und öffentliche IP-Adresse

  • Vorschläge für Phase 1 und Phase 2, die mit der Konfiguration der SRX-Serie übereinstimmen

Die Pico-Zellen in diesem Beispiel verwenden strongSwan Open Source-Software für IPsec-basierte VPN-Verbindungen. Diese Informationen werden von der SRX-Serie für die Pico-Zellenbereitstellung mithilfe der IKEv2-Konfigurations-Payload-Funktion verwendet. In Netzwerken, in denen viele Geräte bereitgestellt werden, kann die Pico-Zellenkonfiguration identisch sein, außer den Zertifikatsinformationen (leftcert) und der Identität (leftid). Die folgenden Beispielkonfigurationen veranschaulichen die Werkseinstellungen.

  1. Überprüfen Sie die Pico 1-Konfiguration:

    Pico 1: Beispielkonfiguration

  2. Überprüfen Sie die Pico 2-Konfiguration:

    Pico 2 Beispielkonfiguration

Konfigurieren des RADIUS-Servers (Beispielkonfiguration mit einem FreeRADIUS)

Schritt-für-Schritt-Verfahren

Die RADIUS-Serverinformationen in diesem Beispiel werden als Referenz bereitgestellt. Vollständige Konfigurationsinformationen des RADIUS-Servers sprengen den Umfang dieses Dokuments. Die folgenden Informationen werden an die SRX-Serie vom RADIUS-Server zurückgegeben:

  • Gerahmte IP-Adresse

  • Framed-IP-Netmask (optional)

  • Primär-DNS und Sekundär-DNS (optional)

In diesem Beispiel verfügt der RADIUS-Server über separate Bereitstellungsinformationen für die OAM- und 3GPP-Verbindungen. Der Benutzername stammt aus den Client-Zertifikatsinformationen, die in der Autorisierungsanforderung der SRX-Serie angegeben sind.

Wenn der RADIUS-Server Clientbereitstellungsinformationen von einem DHCP-Server erwirbt, müssen die Clientidentitätsinformationen, die vom RADIUS-Server an den DHCP-Server weitergeleitet werden, mit den Client-IKE-Identitätsinformationen übereinstimmen, die vom Gerät der SRX-Serie an den RADIUS-Server weitergeleitet werden. Dies gewährleistet die Kontinuität der Client-Identität über die verschiedenen Protokolle hinweg.

Der Kommunikationskanal zwischen dem Gerät der SRX-Serie und dem RADIUS-Server wird durch ein gemeinsames RADIUS-Geheimnis geschützt.

  1. Überprüfen Sie die RADIUS-Konfiguration für Pico 1 OAM VPN. Der RADIUS-Server verfügt über die folgenden Informationen:

    Beispiel-RADIUS-Konfiguration in Junos OS Versionen 12.3X48 und Junos OS-Versionen vor 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:

    FreeRADIUS Konfigurationsbeispiel:

    Beispiel-RADIUS-Konfiguration ab Junos OS Releases 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:

    FreeRADIUS Konfigurationsbeispiel:

    In diesem Fall stellt der RADIUS-Server die Standard-Subnetzmaske (255.255.255.255) bereit, die den intrapeer-Datenverkehr blockiert.

  2. Überprüfen Sie die RADIUS-Konfiguration für Pico 1 3GPP VPN. Der RADIUS-Server verfügt über die folgenden Informationen:

    Beispiel-RADIUS-Konfiguration in Junos OS Versionen 12.3X48 und Junos OS-Versionen vor 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:

    FreeRADIUS Konfigurationsbeispiel:

    Beispiel-RADIUS-Konfiguration ab Junos OS Releases 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 und 18.1R3-S2:

    FreeRADIUS Konfigurationsbeispiel:

    In diesem Fall bietet der RADIUS-Server einen Subnetzmaskenwert (255.255.0.0), der intrapeer-Datenverkehr ermöglicht.

    Ab Junos OS Version 20.1R1 können Sie ein gemeinsames Kennwort für IKEv2-Konfigurations-Payload-Anfragen für eine IKE-Gateway-Konfiguration konfigurieren. Das gemeinsame Kennwort im Bereich von 1 bis 128 Zeichen ermöglicht es dem Administrator, ein gemeinsames Kennwort zu definieren. Dieses Kennwort wird zwischen dem Gerät der SRX-Serie und dem RADIUS-Server verwendet, wenn das Gerät der SRX-Serie im Auftrag eines Remote-IPsec-Peers eine IP-Adresse mit IKEv2-Konfigurationsnutzlast anfordert. RADIUS-Server validiert die Anmeldeinformationen, bevor ip-Informationen für die Konfigurationslastanforderung an das Gerät der SRX-Serie gesendet werden. Sie können das gemeinsame Kennwort mithilfe einer config-payload-password configured-password Konfigurationsanweisung auf [edit security ike gateway gateway-name aaa access-profile access-profile-name] Hierarchieebene konfigurieren. Darüber hinaus erstellt dieses Beispiel zwei Tunnel aus demselben Clientzertifikat, indem unterschiedliche Teile des Zertifikats für IKE-Identitätsinformationen (User-Name) verwendet werden.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE Phase 1-Status für die SRX-Serie

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie vom Betriebsmodus auf Knoten 0 den show security ike security-associations Befehl ein. Verwenden Sie den Befehl, nachdem Sie eine Indexnummer aus dem show security ike security-associations detail Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs mit Pico-Zellen-Geräten auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Dieses Beispiel zeigt nur die IKE Phase 1 SA für OAM VPN; Es wird jedoch eine separate IKE Phase 1 SA angezeigt, in der die IKE Phase 1-Parameter für das 3GPP-VPN angezeigt werden.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig: können Sie den show security ike security-associations index detail Befehl verwenden, um weitere Informationen über die SA zu erhalten.

  • Remote-Adresse: Überprüfen Sie, ob die lokale IP-Adresse korrekt ist und dass Port 500 für die Peer-to-Peer-Kommunikation verwendet wird.

  • Status des Rollen-Responders:

    • Up– Phase 1 SA wurde eingerichtet.

    • Unten: Es gab ein Problem bei der Einrichtung der Phase 1-SA.

  • Peer (Remote)-IKE-ID: Überprüfen Sie, ob die Zertifikatsinformationen korrekt sind.

  • Lokale Identität und Remote-Identität: Vergewissern Sie sich, dass diese Adressen korrekt sind.

  • Modus – Vergewissern Sie sich, dass der richtige Modus verwendet wird.

Vergewissern Sie sich, dass die folgenden Elemente in Ihrer Konfiguration korrekt sind:

  • Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die IKE-Pakete sendet)

  • IKE-Richtlinienparameter

  • Phase 1-Vorschlagsparameter (muss zwischen Peers übereinstimmen)

Der show security ike security-associations Befehl listet die folgenden zusätzlichen Informationen zu Sicherheitszuordnungen auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1-Lebensdauer

  • Datenverkehrsstatistiken (können zur Überprüfung des ordnungsgemäßen Datenverkehrsflusses in beide Richtungen verwendet werden)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mithilfe der Responder-Rolle durchgeführt.

  • Informationen zu Initiator und Responder

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen von IPsec-Sicherheitszuordnungen für die SRX-Serie

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie vom Betriebsmodus auf Knoten 0 den show security ipsec security-associations Befehl ein. Verwenden Sie den Befehl, nachdem Sie eine Indexnummer aus dem show security ipsec security-associations detail Befehl erhalten haben.

Bedeutung

Diese Beispiele zeigen die aktiven IKE Phase 2 SAs für Pico 1. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IPsec-Richtlinienparameter in Ihrer Konfiguration. Für jede Phase 2 SA (OAM und 3GPP) werden Informationen sowohl für die Ein- als auch für die Außenbordrichtung bereitgestellt. Die Ausgabe aus dem show security ipsec security-associations Befehl listet die folgenden Informationen auf:

  • Das Remote-Gateway hat eine IP-Adresse von 1.1.1.1.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (bzw. lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3529/gibt an, dass die Lebensdauer der Phase 2 in 3529 Sekunden abläuft und keine Lebensgröße angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer von Phase 2 kann von der Lebensdauer der Phase 1 abweichen, da Phase 2 nach dem Einschalten des VPN nicht von Phase 1 abhängt.

  • Die VPN-Überwachung für diese SA ist nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, gibt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die obige Ausgabe aus dem show security ipsec security-associations index index_id detail Befehl listet die folgenden Informationen auf:

  • Die lokale Identität und die Remote-Identität bilden die Proxy-ID für die SA.

    Eine Proxy-ID-Mismatch ist eine der häufigsten Ursachen für einen Fehler in Phase 2. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass Phase 2-Vorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können mit mehreren routenbasierten VPNs von der gleichen Peer-IP auftreten. In diesem Fall muss eine eindeutige Proxy-ID für jede IPsec-SA angegeben werden. Für einige Drittanbieter muss die Proxy-ID manuell eingegeben werden, um die Übereinstimmung zu ermöglichen.

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen.

  • Phase-2-Vorschlagsparameter (müssen zwischen Peers übereinstimmen).

  • Sichere Tunnel-Bindungen (st0.0 und st0.1) an die OAM- und 3GPP-Gateways.

IKE-Richtlinie mit einer vertrauenswürdigen CA

Dieses Beispiel zeigt, wie ein vertrauenswürdiger CA-Server an eine IKE-Richtlinie des Peers gebunden wird.

Bevor Sie beginnen, müssen Sie eine Liste aller vertrauenswürdigen CAs haben, die Sie mit der IKE-Richtlinie des Peers zuordnen möchten.

Sie können eine IKE-Richtlinie einem vertrauenswürdigen CA-Profil oder einer vertrauenswürdigen CA-Gruppe zuordnen. Zum Herstellen einer sicheren Verbindung verwendet das IKE-Gateway die IKE-Richtlinie, um sich auf die konfigurierte Gruppe von CAs (CA-Profilen) zu beschränken und gleichzeitig das Zertifikat zu validieren. Ein Zertifikat, das von einer anderen Quelle als der vertrauenswürdigen CA oder vertrauenswürdigen CA-Gruppe ausgestellt wurde, wird nicht validiert. Wenn eine Zertifikatsvalidierungsanforderung von einer IKE-Richtlinie stammt, validiert das zugehörige CA-Profil der IKE-Richtlinie das Zertifikat. Wenn eine IKE-Richtlinie nicht mit einer CA verknüpft ist, wird das Zertifikat standardmäßig von einem der konfigurierten CA-Profile validiert.

In diesem Beispiel wird ein CA-Profil mit dem Namen root-ca erstellt und einem root-ca-identity Profil zugeordnet.

Sie können maximal 20 CA-Profile konfigurieren, die Sie einer vertrauenswürdigen CA-Gruppe hinzufügen möchten. Sie können ihre Konfiguration nicht bestätigen, wenn Sie mehr als 20 CA-Profile in einer vertrauenswürdigen CA-Gruppe konfigurieren.

  1. Erstellen Sie ein CA-Profil und verknüpfen Sie dem Profil eine CA-Kennung.
  2. Definieren Sie einen IKE-Vorschlag und die Authentifizierungsmethode für IKE-Vorschläge.
  3. Beschreiben Sie die Diffie-Hellman-Gruppe, den Authentifizierungsalgorithmus, einen Verschlüsselungsalgorithmus für den IKE-Vorschlag.
  4. Konfigurieren Sie eine IKE-Richtlinie und verknüpfen Sie die Richtlinie mit dem IKE-Vorschlag.
  5. Konfigurieren Sie eine lokale Zertifikatskennung für die IKE-Richtlinie.
  6. Definieren Sie die CA, die für die IKE-Richtlinie verwendet werden soll.

Führen Sie zum Anzeigen der CA-Profile und der auf Ihrem Gerät konfigurierten vertrauenswürdigen CA-Gruppen einen Befehl aus show security pki .

Der show security ike Befehl zeigt die CA-Profilgruppe unter der IKE-Richtlinie mit dem Namen ike_policy und das der IKE-Richtlinie zugeordnete Zertifikat an.