Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec-VPN – Übersicht

IPsec-VPN bietet eine Möglichkeit zur sicheren Kommunikation mit Remotecomputern über ein öffentliches WAN wie das Internet. Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Remote-DFÜ-Benutzer und ein LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, durchläuft gemeinsam genutzte Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Um die VPN-Kommunikation, die durch das WAN geleitet wird, zu sichern, müssen Sie einen IPsec-Tunnel erstellen.

Security Director vereinfacht die Verwaltung und Bereitstellung von IPsec-VPNs. Im Allgemeinen sind VPN-Konfigurationen mühsam und repetitiv, wenn sie über eine große Anzahl von Geräten der SRX-Serie bereitgestellt werden und für VPN-Bereitstellungen mit vollem Netz. Mit Security Director können Sie VPN-Profile verwenden, um allgemeine Einstellungen zu gruppieren und sie auf mehrere VPN-Tunnelkonfigurationen auf mehreren Geräten der SRX-Serie anzuwenden. Sie können Site-to-Site-, Hub-and-Spoke- und vollständig vermaschte VPNs massenhaft bereitstellen. Security Director ermittelt die erforderlichen Bereitstellungsszenarien und veröffentlicht die erforderliche Konfiguration für alle Geräte der SRX-Serie.

Security Director unterstützt richtlinien- und routenbasierte IPsec-VPNs auf Geräten der SRX-Serie. Richtlinienbasierte VPNs werden nur in Site-to-Site-Bereitstellungen unterstützt, in denen Sie zwei Endpunkte konfigurieren. Wenn Sie zwei oder mehr Geräte der SRX-Serie haben, bieten routenbasierte VPNs mehr Flexibilität und Skalierbarkeit. Damit Daten sicher zwischen einer Zweigstelle und der Unternehmenszentrale übertragen werden können, konfigurieren Sie ein richtlinienbasiertes oder routenbasiertes IPsec-VPN. Konfigurieren Sie für eine Bereitstellung der Enterprise-Klasse ein Hub-and-Spoke-IPsec-VPN.

Verwenden Sie den routenbasierten Tunnelmodus, wenn:

  • Teilnehmende Gateways sind Produkte von Juniper Networks.

  • Entweder Quell- oder Ziel-NAT muss auftreten, wenn der Datenverkehr das VPN durchquert.

  • Für das VPN-Routing müssen dynamische Routing-Protokolle verwendet werden.

  • Primär- und Backup-VPNs sind bei der Einrichtung erforderlich.

Verwenden Sie den richtlinienbasierten Tunnelmodus, wenn:

  • Bei dem Remote-VPN-Gateway handelt es sich um ein Gerät, das nicht zu Juniper Networks gehört.

  • Der Zugriff auf das VPN muss für bestimmten Anwendungsdatenverkehr eingeschränkt werden.

Wenn Sie ein richtlinien- oder routenbasiertes IPsec-VPN erstellen, wird eine Topologie zur Darstellung angezeigt. Sie müssen auf die Symbole klicken, um das Remote-Gateway zu konfigurieren.

Hinweis:

  • Security Director betrachtet jedes logische System als jedes andere Sicherheitsgerät und übernimmt die Verantwortung für die Sicherheitskonfiguration des logischen Systems. In Security Director wird jedes logische System als eindeutiges Sicherheitsgerät verwaltet.

  • Security Director stellt sicher, dass die Tunnelschnittstellen ausschließlich den einzelnen logischen Systemen eines Gerätes zugeordnet werden. Keine Tunnelschnittstelle ist mehr als einem logischen System desselben Geräts zugeordnet.

  • Security Director unterstützt kein VPN over Point-to-Point Protocol over Ethernet (PPPoE).

IPsec-VPN-Topologien

Die folgenden IPsec-VPNs werden unterstützt:

  • Site-to-Site-VPNs: Verbindet zwei Standorte in einer Organisation miteinander und ermöglicht eine sichere Kommunikation zwischen den Standorten.

  • Hub-and-Spoke (Einrichtung aller Peers): Verbindet Zweigstellen mit der Unternehmenszentrale in einem Unternehmensnetzwerk. Sie können diese Topologie auch verwenden, um Spokes miteinander zu verbinden, indem Sie Datenverkehr über den Hub senden.

  • Hub-and-Spoke (Einrichtung durch Spokes): Auto-VPN unterstützt einen IPsec-VPN-Aggregator (Hub), der als einzelner Endpunkt für mehrere Tunnel zu Remote-Standorten (Spokes) dient. Auto-VPN ermöglicht es Netzwerkadministratoren, einen Hub für aktuelle und zukünftige Spokes zu konfigurieren. Wenn Spoke-Geräte hinzugefügt oder gelöscht werden, sind keine Konfigurationsänderungen auf der Hub-Zentrale erforderlich, sodass Administratoren flexibel umfangreiche Netzwerkbereitstellungen verwalten können.

  • Hub-and-Spoke (Auto Discovery VPN): Auto Discovery VPN (ADVPN) ist eine Technologie, die es dem zentralen Hub ermöglicht, Spokes dynamisch über einen besseren Pfad für den Datenverkehr zwischen zwei Spokes zu informieren. Wenn beide Spokes die Informationen vom Hub bestätigen, richten sie einen Verknüpfungstunnel ein und ändern die Routing-Topologie, damit der Host die andere Seite erreicht, ohne Datenverkehr über den Hub zu senden.

  • Full Mesh: Verbindet zwei oder mehr teilnehmende Gateways und richtet mit jedem anderen Gerät in der Gruppe einen separaten Tunnel ein.

  • Remote Access VPN (Juniper Secure Connect) – Juniper Secure Connect bietet Benutzern einen sicheren Remote-Zugriff, um sich über das Internet mit den Unternehmensnetzwerken und -ressourcen zu verbinden. Juniper Secure Connect lädt die Konfiguration von SRX Services-Geräten herunter und wählt beim Verbindungsaufbau die effektivsten Transportprotokolle aus.

  • Remote Access VPN (exklusiver NCP-Client) – Remote Access VPN ermöglicht es Benutzern, die zu Hause oder auf Reisen arbeiten, sich mit der Unternehmenszentrale und ihren Ressourcen zu verbinden. Der Network Control Protocol (NCP) Exclusive Remote Access Client ist Teil der NCP Exclusive Remote Access Lösung für Juniper Gateways der SRX-Serie. Der VPN-Client ist nur mit NCP Exclusive Remote Access Management verfügbar. Nutzen Sie den NCP Exclusive Client, um sichere, IPsec-basierte Datenverbindungen von jedem Standort aus herzustellen, wenn Sie mit Gateways der SRX-Serie verbunden sind.

Zugehörige Dokumentation