AUF DIESER SEITE
Beispiel: Konfigurieren eines einzelnen Geräts der SRX-Serie in einer Zweigstelle
Dieses Beispiel enthält eine Schritt-für-Schritt-Anleitung für die Konfiguration und Befehle zur Überprüfung eines Chassis-Clusters auf einem einzelnen Gerät der SRX-Serie in einer Zweigstelle.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX240 Services Gateways
Junos OS Version 12.1 oder höher
Dieses Konfigurationsbeispiel wurde mit der aufgeführten Softwareversion getestet und es wird davon ausgegangen, dass es auf allen späteren Versionen funktioniert.
Übersicht
Um eine Hochverfügbarkeitsbereitstellung auf Link-Ebene zu implementieren, benötigt jede Zweigstelle zwei WAN-Verbindungen und zwei IPsec-VPN-Tunnel (Virtual Private Network) für jedes Datencenter. Der Datenverkehr wird über jedes Tunnelpaar verteilt. Immer wenn Datenverkehr an ein bestimmtes Datencenter geleitet wird, werden die Sitzungen im Round-Robin-Verfahren über jeden IPsec-Tunnel verteilt, der zu diesem Datencenter führt. Die Tunnel wiederum werden so konfiguriert, dass jeder Tunnel eine andere Ausgangsverbindung verwendet, was zu einem Gleichgewicht der Upstream-Verbindungen für den VPN-Datenverkehr führt.
Topologie
Abbildung 1 zeigt eine Redundanzkonfiguration auf Link-Ebene mit Verbindung zu einem Datencenter. Beachten Sie, dass die Konfiguration aus Sicht der Hochverfügbarkeit der Zweigstellen identisch ist, auch wenn mehrere Datencenter verwendet werden können. Nur die IPsec-Tunnelkonfigurationen und ihre Routeneinstellungen ändern sich. Der Einfachheit halber wird nur die IPsec-Konfiguration für eines der Datencenter angezeigt. Eine Beispielkonfiguration zum Einrichten redundanter IPsec-VPN-Tunnel auf einem Gerät der SRX-Serie wird gezeigt.
auf Verbindungsebene
Abbildung 2 zeigt die Zonenkonfiguration. VPN-Tunnel sind Teil einer separaten Zone, die VPN-Zone genannt wird. Auch beim Entwerfen von Sicherheitsrichtlinien müssen die VPN-Tunnel als Teil einer separaten Zone gebildet werden, da der Datenverkehr, der zu den Datencentern (oder anderen Zweigstellen) geht, durch diese Zone geleitet wird.
der SRX-Serie
Konfiguration
Konfigurieren redundanter IPsec-VPN-Tunnel auf einem Gerät der SRX-Serie
Schritt-für-Schritt-Anleitung
So konfigurieren Sie redundante IPsec-VPN-Tunnel:
Legen Sie globale VPN-Einstellungen fest.
[edit] user@host# set security ipsec vpn-monitor-options interval 5 user@host# set security ipsec vpn-monitor-options threshold 5
Konfigurieren Sie die IKE-Richtlinie für den Hauptmodus, den vordefinierten Standardvorschlagssatz und den vorinstallierten Schlüssel.
[edit] user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$9$5Q69tuORcypuxNVwg469CA1RvWL" user@host# set security ike policy preShared_2 mode main user@host# set security ike policy preShared_2 proposal-set standard user@host# set security ike policy preShared_2 pre-shared-key ascii-text "$9$-9V24JGDkmfZGCt0BEh24oaikFn/"
Konfigurieren Sie die IKE-Gateways mit einer Peer-IP-Adresse, einer IKE-Richtlinie und einer ausgehenden Schnittstelle.
[edit] user@host# set security ike gateway DCA_1 ike-policy preShared user@host# set security ike gateway DCA_1 address 4.4.4.2 user@host# set security ike gateway DCA_1 external-interface ge-0/0/4.0 user@host# set security ike gateway DCA_2 ike-policy preShared_2 user@host# set security ike gateway DCA_2 address 5.5.5.2 user@host# set security ike gateway DCA_2 external-interface ge-0/0/5.0
Konfigurieren der IPsec-Richtlinie und der Bindung für die Tunnelschnittstelle
st0.0Verwenden Sie in diesem Beispiel den Standardvorschlagssatz. Sie können jedoch einen eindeutigen Vorschlag erstellen und ihn dann bei Bedarf in der IPsec-Richtlinie angeben.
[edit] user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn DCA_1 bind-interface st0.0 user@host# set security ipsec vpn DCA_1 vpn-monitor optimized user@host# set security ipsec vpn DCA_1 ike gateway DCA_1 user@host# set security ipsec vpn DCA_1 ike no-anti-replay user@host# set security ipsec vpn DCA_1 ike proxy-identity local 0.0.0.0/0 user@host# set security ipsec vpn DCA_1 ike proxy-identity remote 0.0.0.0/0 user@host# set security ipsec vpn DCA_1 ike proxy-identity service any user@host# set security ipsec vpn DCA_1 ike ipsec-policy std user@host# set security ipsec vpn DCA_1 establish-tunnels immediately
Konfigurieren der Bindung für die Tunnelschnittstelle
st0.1[edit] user@host# set security ipsec vpn DCA_2 bind-interface st0.1 user@host# set security ipsec vpn DCA_2 vpn-monitor optimized user@host# set security ipsec vpn DCA_2 ike gateway DCA_2 user@host# set security ipsec vpn DCA_2 ike no-anti-replay user@host# set security ipsec vpn DCA_2 ike proxy-identity local 0.0.0.0/0 user@host# set security ipsec vpn DCA_2 ike proxy-identity remote 0.0.0.0/0 user@host# set security ipsec vpn DCA_2 ike proxy-identity service any user@host# set security ipsec vpn DCA_2 ike ipsec-policy std user@host# set security ipsec vpn DCA_2 establish-tunnels immediately
Konfigurieren Sie sowohl Multipoints als
st0.1auchst0.0Schnittstellen.[edit] user@host# set interfaces st0 unit 0 multipoint user@host# set interfaces st0 unit 0 family inet mtu 1500 user@host# set interfaces st0 unit 0 family inet address 10.255.1.5/24 user@host# set interfaces st0 unit 1 multipoint user@host# set interfaces st0 unit 1 family inet mtu 1500 user@host# set interfaces st0 unit 1 family inet address 10.255.2.5/24
Konfigurieren Sie die statische Route für beide Tunnelschnittstellen.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.204.115.254 user@host# set routing-options static route 172.16.0.0/24 next-hop 10.255.1.254 user@host# set routing-options static route 172.16.0.0/24 next-hop 10.255.2.254 user@host# set routing-options forwarding-table export load-balancing-policy user@host# set policy-options policy-statement load-balancing-policy then load-balance per-packet
Konfigurieren Sie die Verwaltungszone.
[edit] user@host# set security zones functional-zone management interfaces ge-0/0/2.0 user@host# set security zones functional-zone management host-inbound-traffic system-services all user@host# set security zones functional-zone management host-inbound-traffic protocols all
Konfigurieren Sie die Vertrauenszone.
[edit] user@host# set security zones security-zone trust address-book address 0.0.0.0/0 0.0.0.0/0 user@host# set security zones security-zone trust host-inbound-traffic system-services any-service user@host# set security zones security-zone trust host-inbound-traffic protocols all
Konfigurieren Sie die nicht vertrauenswürdige Zone.
[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services any-service user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces lo0.0 user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 user@host# set security zones security-zone untrust interfaces ge-0/0/5.0 user@host# set security zones security-zone VPN host-inbound-traffic system-services all
Konfigurieren Sie Sicherheitszonen durch Zuweisen von Schnittstellen und eingehenden Host-Services.
[edit] user@host# set security zones security-zone VPN host-inbound-traffic system-services all user@host# set security zones security-zone VPN host-inbound-traffic protocols all user@host# set security zones security-zone VPN interfaces st0.0 user@host# set security zones security-zone VPN interfaces st0.1
Ergebnisse
Bestätigen Sie im Betriebsmodus Ihre Konfiguration, indem Sie den show configuration | no-more Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host>show configuration | no-more
## Last commit: 2013-05-28 20:10:49 UTC by root
version 12.1R5.5;
system {
root-authentication {
encrypted-password "$1$ltXYoZky$Gg3OHOmBGCBKwPET6ijPw0"; ## SECRET-DATA
}
name-server {
8.8.8.8;
}
services {
web-management {
http;
}
}
syslog {
file default-message {
any any;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.204.115.166/24;
address 30.30.30.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.10.99.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 20.20.20.1/24;
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
address 4.4.4.1/30;
}
}
}
ge-0/0/5 {
unit 0 {
family inet {
address 5.5.5.1/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
mtu 1500;
address 10.255.1.5/24;
}
}
unit 1 {
multipoint;
family inet {
mtu 1500;
address 10.255.2.5/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.204.115.254;
route 172.16.0.0/24 next-hop [ 10.255.1.254 10.255.2.254 ];
}
forwarding-table {
export load-balancing-policy;
}
}
policy-options {
policy-statement load-balancing-policy {
then {
load-balance per-packet;
}
}
}
security {
ike {
policy preShared {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$5Q69tuORcypuxNVwg469CA1RvWL"; ## SECRET-DATA
}
policy preShared_2 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$-9V24JGDkmfZGCt0BEh24oaikFn/"; ## SECRET-DATA
}
gateway DCA_1 {
ike-policy preShared;
address 4.4.4.2;
external-interface ge-0/0/4.0;
}
gateway DCA_2 {
ike-policy preShared_2;
address 5.5.5.2;
external-interface ge-0/0/5.0;
}
}
ipsec {
vpn-monitor-options {
interval 5;
threshold 5;
}
policy std {
proposal-set standard;
}
vpn DCA_1 {
bind-interface st0.0;
vpn-monitor {
optimized;
}
ike {
gateway DCA_1;
no-anti-replay;
proxy-identity {
local 0.0.0.0/0;
remote 0.0.0.0/0;
service any;
}
ipsec-policy std;
}
establish-tunnels immediately;
}
vpn DCA_2 {
bind-interface st0.1;
vpn-monitor {
optimized;
}
ike {
gateway DCA_2;
no-anti-replay;
proxy-identity {
local 0.0.0.0/0;
remote 0.0.0.0/0;
service any;
}
ipsec-policy std;
}
establish-tunnels immediately;
}
}
policies {
default-policy {
permit-all;
}
}
zones {
functional-zone management {
interfaces {
ge-0/0/2.0;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
}
lo0.0;
ge-0/0/1.0;
ge-0/0/4.0;
ge-0/0/5.0;
}
}
security-zone trust {
address-book {
address 0.0.0.0/0 0.0.0.0/0;
}
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
st0.1;
}
}
}
}
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren der Tunnelschnittstellen
- Überprüfen des IKE-Status
- Überprüfen von IPsec-Sicherheitszuordnungen
- Überprüfen der Routeneinträge
Verifizieren der Tunnelschnittstellen
Zweck
Vergewissern Sie sich, dass die Konfiguration der Tunnelschnittstellen ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show interfaces terse | match st Befehl ein.
user@host>show interfaces terse | match st
st0 up up st0.0 up up inet 10.255.1.5/24 st0.1 up up inet 10.255.2.5/24
Bedeutung
Der show interfaces terse | match st Befehl zeigt den Status der Tunnelschnittstellen an.
Überprüfen des IKE-Status
Zweck
Überprüfen Sie den IKE-Status.
Aktion
Geben Sie im Betriebsmodus den show security ike sa Befehl ein.
user@host>show security ike sa
Index State Initiator cookie Responder cookie Mode Remote Address 1898257 UP c3cc256b779db5ec 258300201eaba783 Main 5.5.5.2 1898255 UP ca13acf3daceb369 0921e2e7abf91a05 Main 4.4.4.2
Bedeutung
Der show security ike sa Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration.
Wenn Sicherheitszuordnungen aufgeführt sind, überprüfen Sie die folgenden Informationen:
Index: Dieser Wert ist für jede IKE-SA eindeutig, den Sie im
show security ike security-associations index detailBefehl verwenden können, um weitere Informationen über die SA zu erhalten.Remote-Adresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.
Staat
UP: Die Phase-1-Sicherheitszuordnung wurde eingerichtet.
DOWN: Beim Einrichten der Phase-1-SA ist ein Problem aufgetreten.
Modus: Vergewissern Sie sich, dass der richtige Modus verwendet wird.
Überprüfen von IPsec-Sicherheitszuordnungen
Zweck
Überprüfen Sie die IPsec-Sicherheitszuordnungen.
Aktion
Geben Sie im Betriebsmodus den show security ipsec sa Befehl ein.
user@host>show security ipsec sa
Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:3des/sha1 3ca3386b 2492/ unlim U root 500 4.4.4.2 >131073 ESP:3des/sha1 be66b350 2492/ unlim U root 500 4.4.4.2 <131074 ESP:3des/sha1 84080019 2491/ unlim U root 500 5.5.5.2 >131074 ESP:3des/sha1 deabdb54 2491/ unlim U root 500 5.5.5.2
Bedeutung
Die Ausgabe zeigt Folgendes:
Es ist ein konfiguriertes IPsec-SA-Paar verfügbar. Die Portnummer 500 gibt an, dass ein Standard-IKE-Port verwendet wird. Andernfalls handelt es sich um Network Address Translation-Traversal (NAT-T), 4500 oder einen zufälligen High-Port.
Der Sicherheitsparameterindex (SPI) wird für beide Richtungen verwendet. Die Lebensdauer oder Nutzungsbeschränkungen der Sicherheitszuordnung werden entweder in Sekunden oder in Kilobyte angegeben. In der Ausgabe gibt 2492/ unlim an, dass die Lebensdauer von Phase 2 in 2492 Sekunden abläuft und keine angegebene Lebensdauer angegeben ist.
Die ID-Nummer zeigt den eindeutigen Indexwert für jede IPsec-Sicherheitszuordnung an.
Überprüfen der Routeneinträge
Zweck
Überprüfen Sie die Routeneinträge in der Routing-Tabelle.
Aktion
Geben Sie im Betriebsmodus den show route Befehl ein.
user@host>show route
inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/5] 10w5d 22:23:53
> to 10.204.115.254 via ge-0/0/0.0
4.4.4.0/30 *[Direct/0] 00:18:45
> via ge-0/0/4.0
4.4.4.1/32 *[Local/0] 00:18:45
Local via ge-0/0/4.0
5.5.5.0/30 *[Direct/0] 00:18:45
> via ge-0/0/5.0
5.5.5.1/32 *[Local/0] 00:18:45
Local via ge-0/0/5.0
10.10.99.1/32 *[Local/0] 10w5d 22:24:03
Reject
10.204.115.0/24 *[Direct/0] 10w5d 22:23:53
> via ge-0/0/0.0
10.204.115.166/32 *[Local/0] 10w5d 22:24:04
Local via ge-0/0/0.0
10.255.1.0/24 *[Direct/0] 00:18:40
> via st0.0
10.255.1.5/32 *[Local/0] 4d 02:50:20
Local via st0.0
10.255.2.0/24 *[Direct/0] 00:18:40
> via st0.1
10.255.2.5/32 *[Local/0] 4d 02:50:20
Local via st0.1
20.20.20.0/24 *[Direct/0] 03:46:19
> via ge-0/0/2.0
20.20.20.1/32 *[Local/0] 03:46:19
Local via ge-0/0/2.0
30.30.30.0/24 *[Direct/0] 03:46:19
> via ge-0/0/0.0
30.30.30.1/32 *[Local/0] 03:46:19
Local via ge-0/0/0.0
172.16.0.0/24 *[Static/5] 00:18:40
> to 10.255.1.254 via st0.0
to 10.255.2.254 via st0.1
172.16.1.0/24 *[Direct/0] 00:15:55
> via lo0.0
172.16.1.1/32 *[Local/0] 00:15:55
Local via lo0.0
Bedeutung
Die Ausgabe zeigt an, dass es 19 Routen gibt und alle Routen aktiv sind.