AUF DIESER SEITE
Beispiel: Konfigurieren von Gruppen-VPNs in Gruppen-VPNv2 auf Routing-Geräten
Gruppen-VPNv2 ist der Name der Gruppen-VPN-Technologie auf MX5-, MX10-, MX40-, MX80-, MX104-, MX240-, MX480- und MX960-Routern. Gruppen-VPNv2 unterscheidet sich von der Gruppen-VPN-Technologie, die auf SRX-Sicherheits-Gateways implementiert ist. Der Begriff Gruppen-VPN wird in diesem Dokument manchmal verwendet, um sich auf die Technologie im Allgemeinen und nicht auf die SRX-Technologie zu beziehen.
In diesem Beispiel wird gezeigt, wie Gruppen-VPNs in Group VPNv2 konfiguriert werden, um die IPsec-Architektur (IP Security) zu erweitern, um Gruppensicherheitszuordnungen (Group Security Associations, GSAs) zu unterstützen, die von einer Gruppe von Routern gemeinsam genutzt werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei universelle 5G-Routing-Plattformen der MX-Serie mit MS-MIC-16G- oder MS-MPC-PIC-Linecards
Erreichbarkeit zu einem oder mehreren Cisco Group Controllern oder Schlüsselservern (GC/KS)
Junos OS Version 14.1 oder höher, das auf den Routern der MX-Serie ausgeführt wird
Bevor Sie beginnen:
Konfigurieren Sie die Router für die Netzwerkkommunikation.
Konfigurieren Sie den Cisco GC/KS.
Konfigurieren Sie die Geräteschnittstellen für Gruppenmitglieder.
Übersicht
Ab Junos OS Version 14.1 bieten Router der MX-Serie mit MS-MIC-16G- und MS-MPC-PIC-Linecards die Unterstützung der Gruppen-VPNv2-Mitgliederfunktionalität mit einem oder mehreren Cisco Group Controllern oder Schlüsselservern (GC/KS). Die Gruppenmitglieder können sich mit maximal vier Cisco GC/KSs mit minimaler Interoperabilität mit den kooperativen Servern verbinden.
Diese Funktion bietet auch Unterstützung für die Systemprotokollierung für die Gruppen-VPNv2-Funktionalität und Routing-Instanzunterstützung für Steuerung und Datenverkehr.
Topologie
In Abbildung 1 wird ein Gruppen-VPN zwischen einem Cisco Gruppenserver, GC/KS, und zwei Gruppenmitgliedern, GM1 und GM2, konfiguriert. Die Gruppenmitglieder sind mit Hostgeräten verbunden.
In Abbildung 2 ist ein Gruppen-VPN zwischen GM1 und GM2 konfiguriert, und GC/KS1 und GC/KS2 sind die primären bzw. sekundären Gruppenserver.
Konfiguration
- Konfigurieren von Gruppen-VPNv2 mit einem einzelnen GC/KS
- Konfigurieren von Gruppen-VPNv2 mit mehreren GC/KS
Konfigurieren von Gruppen-VPNv2 mit einem einzelnen GC/KS
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und fügen Sie sie dann commit in die Konfiguration ein.
GM1
set interfaces ms-4/0/0 unit 1 family inet set interfaces ge-0/1/9 vlan-tagging set interfaces ge-0/1/9 unit 1 vlan-id 11 set interfaces ge-0/1/9 unit 1 family inet address 198.51.100.0/24 set interfaces xe-0/3/1 vlan-tagging set interfaces xe-0/3/1 unit 1 vlan-id 1 set interfaces xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set set interfaces xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set set interfaces xe-0/3/1 unit 1 family inet address 10.0.1.2/24 set interfaces xe-4/3/1 unit 0 family inet address 203.0.113.1/24 set routing-options static route 192.0.2.0/24 next-hop 198.51.100.2 set routing-options static route 203.0.113.0/24 next-hop 10.0.1.1 set security group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys set security group-vpn member ike proposal ike-proposal dh-group group2 set security group-vpn member ike proposal ike-proposal authentication-algorithm sha1 set security group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc set security group-vpn member ike policy ike-policy mode main set security group-vpn member ike policy ike-policy proposals ike-proposal set security group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36" set security group-vpn member ike gateway gw-group1 ike-policy ike-policy set security group-vpn member ike gateway gw-group1 server-address 192.0.2.0 set security group-vpn member ike gateway gw-group1 local-address 198.51.100.0 set security group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1 set security group-vpn member ipsec vpn vpn-group1 group 1 set security group-vpn member ipsec vpn vpn-group1 match-direction output set services service-set gvpn-service-set interface-service service-interface ms-4/0/0.1 set services service-set gvpn-service-set ipsec-group-vpn vpn-group1
GM2
set interfaces ms-0/2/0 unit 1 family inet set interfaces xe-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces xe-0/1/1 vlan-tagging set interfaces xe-0/1/1 unit 1 vlan-id 1 set interfaces xe-0/1/1 unit 1 family inet service input service-set gvpn-service-set set interfaces xe-0/1/1 unit 1 family inet service output service-set gvpn-service-set set interfaces xe-0/1/1 unit 1 family inet address 10.0.1.1/24 set interfaces ge-1/3/5 vlan-tagging set interfaces ge-1/3/5 unit 1 vlan-id 11 set interfaces ge-1/3/5 unit 1 family inet address 198.51.100.1/24 set routing-options static route 192.0.2.0/24 next-hop 198.51.100.3 set routing-options static route 203.0.113.2/24 next-hop 10.0.1.2 set security group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys set security group-vpn member ike proposal ike-proposal dh-group group2 set security group-vpn member ike proposal ike-proposal authentication-algorithm sha1 set security group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc set security group-vpn member ike policy ike-policy mode main set security group-vpn member ike policy ike-policy proposals ike-proposal set security group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36" set security group-vpn member ike gateway gw-group1 ike-policy ike-policy set security group-vpn member ike gateway gw-group1 server-address 192.0.2.0 set security group-vpn member ike gateway gw-group1 local-address 198.51.100.0 set security group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1 set security group-vpn member ipsec vpn vpn-group1 group 1 set security group-vpn member ipsec vpn vpn-group1 match-direction output set services service-set gvpn-service-set interface-service service-interface ms-0/2/0.1 set services service-set gvpn-service-set ipsec-group-vpn vpn-group1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie GM1:
Konfigurieren Sie die GM1-Schnittstellen des Routers.
[edit interfaces]user@GM1# set ms-4/0/0 unit 1 family inet user@GM1# set ge-0/1/9 vlan-tagging user@GM1# set ge-0/1/9 unit 1 vlan-id 11 user@GM1# set ge-0/1/9 unit 1 family inet address 198.51.100.0/24 user@GM1# set xe-0/3/1 vlan-tagging user@GM1# set xe-0/3/1 unit 1 vlan-id 1 user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set user@GM1# set xe-0/3/1 unit 1 family inet address 10.0.1.2/24 user@GM1# set interfaces xe-4/3/1 unit 0 family inet address 203.0.113.1/24Konfigurieren Sie statische Routen, um den Gruppenserver und Mitglied 2 zu erreichen.
[edit routing-options]user@GM1# set static route 192.0.2.0/24 next-hop 198.51.100.2 user@GM1# set static route 203.0.113.0/24 next-hop 10.0.1.1Definieren Sie den IKE-Vorschlag.
[edit security]user@GM1# set group-vpn member ike proposal ike-proposalKonfigurieren Sie die Phase 1-Sicherheitszuordnung für ike-proposal.
[edit security]user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2 user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1 user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbcDefinieren Sie die IKE-Richtlinie.
[edit security]user@GM1# set group-vpn member ike policy ike-policy mode main user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"Legen Sie die Remote-Gateways für gw-group1 fest.
[edit security]user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy user@GM1# set group-vpn member ike gateway gw-group1 server-address 192.0.2.0 user@GM1# set group-vpn member ike gateway gw-group1 local-address 198.51.100.0Konfigurieren Sie den Gruppenbezeichner und das IKE-Gateway für gw-group1.
[edit security]user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1 user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1 user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction outputKonfigurieren Sie den Servicesatz für gw-group1.
[edit services]user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1 user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show routing-optionsshow securityund show services eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
GM1
user@GM1# show interfaces
ge-0/1/9 {
vlan-tagging;
unit 1 {
vlan-id 11;
family inet {
address 198.51.100.0/24;
}
}
}
xe-0/3/1 {
vlan-tagging;
unit 1 {
vlan-id 1;
family inet {
service {
input {
service-set gvpn-service-set;
}
output {
service-set gvpn-service-set;
}
}
address 10.0.1.2/24;
}
}
}
ms-4/0/0 {
unit 1 {
family inet;
}
}
xe-4/3/1 {
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
user@GM1# show routing-options
static {
route 192.0.2.0/24 next-hop 198.51.100.2;
route 203.0.113.0/24 next-hop 10.0.1.1;
}
user@GM1# show security
group-vpn {
member {
ike {
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike-policy {
mode main;
pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"; ## SECRET-DATA
proposals ike-proposal;
}
gateway gw-group1 {
ike-policy ike-policy;
server-address 192.0.2.0;
local-address 198.51.100.0;
}
}
ipsec {
vpn vpn-group1 {
ike-gateway gw-group1;
group 1;
match-direction output;
}
}
}
}
user@GM1# show services
service-set gvpn-service-set {
interface-service {
service-interface ms-4/0/0.1;
}
ipsec-group-vpn vpn-group1;
}
Konfigurieren von Gruppen-VPNv2 mit mehreren GC/KS
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und fügen Sie sie dann commit in die Konfiguration ein.
GM1
set interfaces ms-4/0/0 unit 1 family inet set interfaces ge-0/1/9 vlan-tagging set interfaces ge-0/1/9 unit 1 vlan-id 11 set interfaces ge-0/1/9 unit 1 family inet address 198.51.100.0/24 set interfaces xe-0/3/1 vlan-tagging set interfaces xe-0/3/1 unit 1 vlan-id 1 set interfaces xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set set interfaces xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set set interfaces xe-0/3/1 unit 1 family inet address 10.0.1.2/24 set interfaces xe-4/3/1 unit 0 family inet address 203.0.113.1/24 set routing-options static route 192.0.2.0/24 next-hop 198.51.100.2 set routing-options static route 203.0.113.0/24 next-hop 10.0.1.1 set security group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys set security group-vpn member ike proposal ike-proposal dh-group group2 set security group-vpn member ike proposal ike-proposal authentication-algorithm sha1 set security group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc set security group-vpn member ike policy ike-policy mode main set security group-vpn member ike policy ike-policy proposals ike-proposal set security group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36" set security group-vpn member ike gateway gw-group1 ike-policy ike-policy set security group-vpn member ike gateway gw-group1 server-address 192.0.2.0 set security group-vpn member ike gateway gw-group1 server-address 172.16.0.0 set security group-vpn member ike gateway gw-group1 local-address 198.51.100.0 set security group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1 set security group-vpn member ipsec vpn vpn-group1 group 1 set security group-vpn member ipsec vpn vpn-group1 match-direction output set services service-set gvpn-service-set interface-service service-interface ms-4/0/0.1 set services service-set gvpn-service-set ipsec-group-vpn vpn-group1
GM2
set interfaces ms-0/2/0 unit 1 family inet set interfaces xe-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces xe-0/1/1 vlan-tagging set interfaces xe-0/1/1 unit 1 vlan-id 1 set interfaces xe-0/1/1 unit 1 family inet service input service-set gvpn-service-set set interfaces xe-0/1/1 unit 1 family inet service output service-set gvpn-service-set set interfaces xe-0/1/1 unit 1 family inet address 10.0.1.1/24 set interfaces ge-1/3/5 vlan-tagging set interfaces ge-1/3/5 unit 1 vlan-id 11 set interfaces ge-1/3/5 unit 1 family inet address 198.51.100.1/24 set routing-options static route 192.0.2.0/24 next-hop 198.51.100.3 set routing-options static route 203.0.113.2/24 next-hop 10.0.1.2 set security group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys set security group-vpn member ike proposal ike-proposal dh-group group2 set security group-vpn member ike proposal ike-proposal authentication-algorithm sha1 set security group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc set security group-vpn member ike policy ike-policy mode main set security group-vpn member ike policy ike-policy proposals ike-proposal set security group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36" set security group-vpn member ike gateway gw-group1 ike-policy ike-policy set security group-vpn member ike gateway gw-group1 server-address 192.0.2.0 set security group-vpn member ike gateway gw-group1 server-address 172.16.0.0 set security group-vpn member ike gateway gw-group1 local-address 198.51.100.1 set security group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1 set security group-vpn member ipsec vpn vpn-group1 group 1 set security group-vpn member ipsec vpn vpn-group1 match-direction output set services service-set gvpn-service-set interface-service service-interface ms-0/2/0.1 set services service-set gvpn-service-set ipsec-group-vpn vpn-group1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie GM1:
Konfigurieren Sie die GM1-Schnittstellen des Routers.
[edit interfaces]user@GM1# set ms-4/0/0 unit 1 family inet user@GM1# set ge-0/1/9 vlan-tagging user@GM1# set ge-0/1/9 unit 1 vlan-id 11 user@GM1# set ge-0/1/9 unit 1 family inet address 198.51.100.0/24 user@GM1# set xe-0/3/1 vlan-tagging user@GM1# set xe-0/3/1 unit 1 vlan-id 1 user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set user@GM1# set xe-0/3/1 unit 1 family inet address 10.0.1.2/24 user@GM1# set xe-4/3/1 unit 0 family inet address 203.0.113.1/24Konfigurieren Sie statische Routen, um den Gruppenserver und Mitglied 2 zu erreichen.
[edit routing-options]user@GM1# set static route 192.0.2.0/24 next-hop 198.51.100.2 user@GM1# set static route 203.0.1.0/24 next-hop 10.0.1.1Definieren Sie den IKE-Vorschlag.
[edit security]user@GM1# set group-vpn member ike proposal ike-proposalKonfigurieren Sie die Phase 1-Sicherheitszuordnung für ike-proposal.
[edit security]user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2 user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1 user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbcDefinieren Sie die IKE-Richtlinie.
[edit security]user@GM1# set group-vpn member ike policy ike-policy mode main user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"Legen Sie die Remote-Gateways für gw-group1 fest.
[edit security]user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy user@GM1# set group-vpn member ike gateway gw-group1 server-address 192.0.2.0 user@GM1# set group-vpn member ike gateway gw-group1 server-address 172.16.0.0 user@GM1# set group-vpn member ike gateway gw-group1 local-address 198.51.100.0Konfigurieren Sie den Gruppenbezeichner und das IKE-Gateway für gw-group1.
[edit security]user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1 user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1 user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction outputKonfigurieren Sie den Servicesatz für gw-group1.
[edit services]user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1 user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show routing-optionsshow securityund show services eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
GM1
user@GM1# show interfaces
ge-0/1/9 {
vlan-tagging;
unit 1 {
vlan-id 11;
family inet {
address 198.51.100.0/24;
}
}
}
xe-0/3/1 {
vlan-tagging;
unit 1 {
vlan-id 1;
family inet {
service {
input {
service-set gvpn-service-set;
}
output {
service-set gvpn-service-set;
}
}
address 10.0.1.2/24;
}
}
}
ms-4/0/0 {
unit 1 {
family inet;
}
}
xe-4/3/1 {
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
user@GM1# show routing-options
static {
route 192.0.2.0/24 next-hop 198.51.100.2;
route 203.0.113.0/24 next-hop 10.0.1.1;
}
user@GM1# show security
group-vpn {
member {
ike {
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike-policy {
mode main;
pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"; ## SECRET-DATA
proposals ike-proposal;
}
gateway gw-group1 {
ike-policy ike-policy;
server-address [ 192.0.2.0 172.16.0.0 ];
local-address 198.51.100.0;
}
}
ipsec {
vpn vpn-group1 {
ike-gateway gw-group1;
group 1;
match-direction output;
}
}
}
}
user@GM1# show services
service-set gvpn-service-set {
interface-service {
service-interface ms-4/0/0.1;
}
ipsec-group-vpn vpn-group1;
}
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren des Gruppenmitglieds IKE SA
- Verifizieren der IPsec-SA des Gruppenmitglieds
- Überprüfen der IPsec-Statistiken für Gruppenmitglieder
Verifizieren des Gruppenmitglieds IKE SA
Zweck
Überprüfen Sie die IKE-SAs auf Router GM1.
Aktion
Führen Sie den show security group-vpn member ike security-associations detail Befehl im Betriebsmodus aus.
user@GM1> show security group-vpn member ike security-associations detail IKE peer 192.0.2.0, Index 2994970, Gateway Name: gw-group1 Role: Initiator, State: UP Initiator cookie: 7fad16089a123bcd, Responder cookie: 536b33ffe89799de Exchange type: Main, Authentication method: Pre-shared-keys Local: 198.51.100.0:848, Remote: 192.0.2.0:848 Lifetime: Expires in 175 seconds Peer ike-id: 192.0.2.0 Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 752 Output bytes : 716 Input packets: 5 Output packets: 5 Flags: IKE SA is created IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 0
Bedeutung
Der Router GM1 hat für die Gruppe die IKE SA mit dem GC/KS gegründet.
Verifizieren der IPsec-SA des Gruppenmitglieds
Zweck
Überprüfen Sie die IPsec-SAs auf Router GM1.
Aktion
Führen Sie den show security group-vpn member ipsec security-associations detail Befehl im Betriebsmodus aus.
user@GM1> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: vpn-group1
Local Gateway: 198.51.100.1, GDOI Server: 192.0.2.0
Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1500
Routing Instance: default
DF-bit: clear
Stats:
Pull Succeeded : 18
Pull Failed : 0
Pull Timeout : 0
Pull Aborted : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(1): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 10001
Source IP: ipv4_subnet(any:0,[0..7]=203.0.2.0/24)
Destination IP: ipv4_subnet(any:0,[0..7]=203.0.1.0/24)
Direction: bi-directional, SPI: e1c117c7
Protocol: ESP, Authentication: sha1, Encryption: 3des
Hard lifetime: Expires in 2526 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2366 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: N/A
Bedeutung
Der Router GM1 hat die IPsec SA mit dem GC/KS aufgebaut.
Überprüfen der IPsec-Statistiken für Gruppenmitglieder
Zweck
Überprüfen Sie die IPsec-Statistik auf Router GM1.
Aktion
Führen Sie den show security group-vpn member ipsec statistics Befehl im Betriebsmodus aus.
user@GM1> show security group-vpn member ipsec statistics PIC: ms-0/2/0, Service set: gvpn-service-set ESP Statistics: Encrypted bytes: 264 Decrypted bytes: 264 Encrypted packets: 3 Decrypted packets: 3 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0 ESP authentication failures: 0 ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Replay before window drops: 0, Replayed pkts: 0 IP integrity errors: 0, Exceeds tunnel MTU: 0 Rule lookup failures: 0, No SA errors: 0 Flow errors: 0, Misc errors: 0
Bedeutung
ESP Statistics Zeigt an, dass Paketflüsse zwischen den Gruppenmitgliedern verschlüsselt und entschlüsselt wurden. Router GM1 hat 3 Pakete verschlüsselt und 3 entschlüsselte Pakete von Router GM2 empfangen.
Problembehandlung
Informationen zur Fehlerbehebung bei der Gruppen-VPNv2-Konfiguration finden Sie unter:
- Verhandlungen mit IKE SA
- Gründung der IKE SA
- Herunterladen der GDOI IPsec SA
- Ver- und Entschlüsselung des Datenverkehrs
- Fehlerbehebung bei Systemprotokollmeldungen
Verhandlungen mit IKE SA
Problem
Die IKE SA-Aushandlung wird für das Gruppenmitglied nicht ausgelöst.
In der show ike Ausgabe der Befehle and show security group-vpn member ike security-associations werden die IKE-Aushandlungen nicht angezeigt.
Lösung
So beheben Sie das Problem mit der IKE-Aushandlung:
Überprüfen Sie, ob der Status der Serviceschnittstelle aktiv ist.
Verwenden Sie diese Option
show interfaces terse | match ms, um zu überprüfen, ob die MS-Schnittstelle ausgefallen ist. Eine MS-Schnittstelle fällt aus, wenn der PIC neu gestartet wird.Suchen Sie in der Protokolldatei
/var/log/gkmdnachIgnore gvpn vpn_name since it is inactive.Überprüfen Sie, ob auf das Gruppen-VPN von einem in der Konfiguration festgelegten Dienst verwiesen wird.
Aktivieren Sie
security group-vpn member ike traceoptions.Suchen Sie in der Ablaufverfolgungsprotokolldatei nach den folgenden Systemprotokollmeldungen:
Dec 2 16:09:54 GVPN:iked_pm_gvpn_trigger called for gvpn200Dec 2 16:09:54 GVPN:PM NULL for gvpn gvpn200Dec 2 16:09:54 GVPN:Ignore gvpn gvpn200 since it is inactive
Dies bedeutet, dass entweder der Service Set inaktiv ist oder die Serviceschnittstelle ausgefallen ist.
Gründung der IKE SA
Problem
Die IKE SA etabliert sich nicht mit dem GC/KS.
In diesem Szenario ist der IKE-SA-Status in der show security group-vpn member ike security-associations Befehlsausgabe nicht verfügbar:
user@GM1> show security group-vpn member ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
5295626 DOWN 2d47c125d2a9805e 0000000000000000 Main 192.0.2.2
Lösung
So beheben Sie das Problem mit IKE SA:
Überprüfen Sie, ob die unter
[edit security group-vpn member ike gateway]konfigurierte Serveradresse die richtige ist und erreichbar ist.Verwenden Sie den Befehl zwischen den
pingRemote-Geräten, um die Netzwerkkonnektivität zu überprüfen.Überprüfen Sie, ob die lokale Adresse in der Konfiguration auch eine konfigurierte Adresse auf einer der physischen Schnittstellen in der
group-vpnKonfiguration ist.Überprüfen Sie, ob die IKE-Vorschläge zwischen dem Gruppenmitglied und dem GC/KS übereinstimmen.
Wenn bei der IKE-SA-Aushandlung eine Fehlkonfiguration vorliegt, gehen Sie wie folgt vor:
Aktivieren Sie
security group-vpn member ike traceoption.Suchen Sie in der Ablaufverfolgungsprotokolldatei nach der folgenden Meldung:
Dec 2 15:39:54 ikev2_fb_negotiation_done_isakmp: Entered IKE error code No proposal chosen (14), IKE SA 8dd7000 (neg 8dda800).
Suchen Sie nach einem
No proposal chosenFehler in der Protokolldatei/var/log/gkmd.
Herunterladen der GDOI IPsec SA
Problem
Die GDOI IPsec SAs werden nicht vom GC/KS heruntergeladen.
In diesem Szenario schlägt die GDOI groupkey-pull mit dem konfigurierten GC/KS fehl, und die show security group-vpn member ipsec sa Befehlsausgabe zeigt nichts an.
Lösung
So beheben Sie das Problem mit der GDOI IPsec SA:
Prüfen Sie, ob die IKE SA mit dem GC/KS eingerichtet wurde.
Überprüfen Sie, ob die auf dem GC/KS konfigurierte Gruppen-ID mit der des Gruppenmitglieds übereinstimmt.
Suchen Sie in der Protokolldatei
/var/log/gkmdnach Installationsfehlern der Gruppen-SA oder anderen Fehlern.Achten Sie auf die folgenden Syslog-Meldungen, um die Verwendung eines nicht unterstützten GDOI-SA-Algorithmus zu bestätigen:
Dec 2 15:32:49 simpleman gkmd[1701]: Failed to install SA because of unsupported algo(encr: 3des-cbc, auth : (null)) for SPI 0x6645cdb5 from server 192.0.2.1Dec 2 15:32:49 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason SA unusable
Achten Sie auf die folgenden Syslog-Meldungen, um die Verwendung nicht unterstützter GDOI-Richtlinien zu bestätigen:
Dec 2 15:34:34 simpleman gkmd[1701]: Failed to install SA because of too many(2) policies for SPI 0x6951550c from server 192.0.2.1Dec 2 15:34:34 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason SA unusable
Ver- und Entschlüsselung des Datenverkehrs
Problem
Die CLI zeigt IPsec-Sicherheitszuordnungen als installiert an, aber der Datenverkehr wird nicht durch die Sicherheitszuordnungen geleitet.
In diesem Szenario kann Datenverkehr, der den vom Server empfangenen Regeln entspricht, nicht verschlüsselt oder entschlüsselt werden. Die show security group-vpn member ipsec statistics Befehlsausgabe zeigt einen Nullwert für die Anzahl der Verschlüsselungs- und Entschlüsselungspakete an.
Lösung
Suchen Sie im Fehlerabschnitt der CLI-Ausgabe nach Rule lookup failures counter.
Fehlerbehebung bei Systemprotokollmeldungen
Problem
Systemprotokollmeldungen werden generiert, um die verschiedenen Gruppen-VPNv2-Ereignisse aufzuzeichnen.
Lösung
Informationen zur Interpretation der Systemprotokollmeldungen finden Sie unter:
Dec 2 15:29:10 simpleman gkmd[1701]: Member registration succeeded with key server 192.0.2.1 for group vpn gvpn200– Der GDOI-Pull war erfolgreich.Dec 2 15:21:18 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason Timed out—GDOI-Pull fehlgeschlagen.Dec 2 15:34:34 simpleman gkmd[1701]: Failed to install SA because of too many(2) policies for SPI 0x6951550c from server 192.0.2.1—Die Installation von GDOI SA ist aufgrund zu vieler Richtlinien fehlgeschlagen.Dec 2 15:21:18 simpleman gkmd[1701]: Server 192.0.2.1 is unreachable for group vpn gvpn200—Einzelner GC/KS fehlgeschlagen (Nicht-COOP).Dec 2 15:51:49 simpleman gkmd[1701]: Current key server 192.0.2.1 is unreachable and will try registering with next Key Server 192.1.1.2 for group vpn gvpn200– Bestimmter GC/KS reagiert nicht (COOP).Dec 2 15:56:24 simpleman gkmd[1701]: All servers are unreachable for group vpn gvpn200– Keiner der GC/KS antwortet (COOP).Dec 2 16:01:43 simpleman gkmd[1701]: Member re-registering with Key Server 192.0.2.1 for group-vpn gvpn200—Erneute Registrierung von Mitgliedern beim GC/KS.Dec 2 16:01:43 simpleman gkmd[1701]: Creating TEK with SPI 0xb35200ac tunnel_id 10001 for group vpn gvpn200– Die Erstellung von GDOI SA TEK war erfolgreich.Dec 2 16:29:01 simpleman gkmd[1701]: Deleting TEK with SPI 0x6dba2a76 tunnel_id 10001 for group vpn gvpn200 and reason cleared from CLI—GDOI SA TEK Destroy war aus gutem Grund erfolgreich.Verschiedene Gründe für die Zerstörung von GDOI SA TEK sind wie folgt:
Aus CLI gelöscht
Harte Lebensdauer abgelaufen
Zu viele TEKs
Konfigurationsänderung
Fehler bei der SA-Installation
Abgestandene SA
Schnittstelle ausgefallen