Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vpn de groupe VPNv2

La vpnv2 de groupe présente le concept de groupe de confiance qui élimine les tunnels point à point et leur routage overlay associé. Tous les membres du groupe partagent une association de sécurité (SA), également connue sous le nom de SA de groupe.

Présentation de la VPNNv2 de groupe

Une association de sécurité IPsec (SA) est un accord unidirectionnel entre les participants du réseau privé virtuel (VPN) qui définit les règles à utiliser pour les algorithmes d’authentification et de chiffrement, les mécanismes d’échange clés et les communications sécurisées. Avec de nombreuses implémentations VPN, le SA est un tunnel point à point entre deux équipements de sécurité Figure 1 (voir).

Figure 1 : SA point à pointSA point à point

La VPNv2 de groupe étend l’architecture IPsec pour prendre en charge les SA partagés par un groupe d’équipements de sécurité (voir Figure 2 ). Avec la technologie VPNNv2 de groupe, il est possible connectivité any-to-any en préservant les adresses IP source et de destination d’origine dans l’en-tête extérieur. La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX.

Figure 2 : SA partagésSA partagés

La technologie VPNv2 de groupe est une version améliorée de la fonctionnalité VPN de groupe, introduite dans Junos OS versions antérieures pour SRX Series périphériques mobiles. Vpn de groupe VPNv2 sur Juniper; prise en charge de la RFC 6407, du domaine d’interprétation de groupe (GDOI)et de l’interopérabilité avec d’autres équipements conformes à la RFC 6407.

Understanding the GDOI Protocol for Group VPNv2

La technologie VPNv2 de groupe est basée sur le RFC 6407, The Group Domain of Interpretation (GDOI). Ce RFC décrit le protocole entre les membres du groupe et les serveurs de groupe pour établir des SA parmi les membres du groupe. Les messages GDOI créent, entretiennent ou suppriment les SA pour un groupe d’équipements. La VPNNv2 de groupe est prise en charge sur vSRX instances et sur tous les SRX Series, sauf SRX5400, SRX5600 et SRX5800 périphériques mobiles.

Le protocole GDOI s’exécute sur le port UDP 848. L’Association internet de sécurité et le protocole ISAKMP (Key Management Protocol) définissent deux phases de négociation pour établir des SA pour un tunnel IKE IPsec. La phase 1 permet à deux équipements d’établir un SA ISAKMP pour d’autres protocoles de sécurité, tels que GDOI.

Avec la VPNv2 du groupe, la négociation ISAKMP SA de phase 1 est effectuée entre un serveur de groupe et un membre du groupe. Le serveur et le membre doivent utiliser la même stratégie ISAKMP. Les échanges GDOI entre le serveur et le membre établissent les SA partagés avec les autres membres du groupe. Un membre du groupe n’a pas besoin de négocier l’IPsec avec les autres membres du groupe. Les échanges GDOI doivent être protégés par les SA de phase 1 ISAKMP.

Il existe deux types d’échanges GDOI:

  • groupkey-pullL’échange permet à un membre de demander des SA et des clés partagées par le groupe sur le serveur. Les membres du groupe doivent s’inscrire auprès d’un serveur de groupe par le biais groupkey-pull d’un échange.

  • Il s’agit d’un message unique rekey qui permet au serveur d’envoyer des SA de groupe et des clés aux membres avant l’expiration des groupkey-push SA du groupe existant. Les messages clés en main sont des messages non sollicités envoyés par le serveur aux membres.

Understanding Group VPNv2 Servers and Members

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Le centre de la VPNv2 de groupe est le contrôleur de groupe/serveur clé (GCKS). Un cluster de serveur peut être utilisé pour fournir une redondance GCKS.

Le GCKS ou le serveur de groupe réalisent les tâches suivantes:

  • Contrôle l’appartenance aux groupes.

  • Génère des clés de chiffrement.

  • Envoie de nouveaux SA de groupe et de nouvelles clés aux membres. Les membres du groupe chiffrent le trafic en fonction des SA du groupe et des clés fournies par le serveur de groupe.

Un serveur de groupe peut servir plusieurs groupes. Un seul équipement de sécurité peut être membre de plusieurs groupes.

Chaque groupe est représenté par un identifiant de groupe, qui est un numéro entre 1 et 4 294 967 295. Le serveur du groupe et les membres du groupe sont liés par l’identifiant du groupe. Il ne peut y avoir qu’un seul identifiant par groupe et plusieurs groupes ne peuvent pas utiliser le même identifiant de groupe.

Voici une vue de haut niveau du serveur VPNv2 de groupe et des actions des membres:

  1. Le serveur de groupe écoute le port UDP 848 pour que les membres s’enregistrent.

  2. Pour s’inscrire auprès du serveur de groupe, le membre établit d’abord un IKE SA auprès du serveur. Un équipement membre doit fournir une authentification IKE phase 1 correcte pour rejoindre le groupe. L’authentification clé partagée par membre est prise en charge.

  3. Une fois l’authentification et l’enregistrement réussis, l’équipement membre récupère des SA de groupe et des clés pour l’identifiant de groupe spécifié sur le serveur avec un échange groupkey-pull GDOI.

  4. Le serveur ajoute un membre au groupe.

  5. Les membres du groupe échangent des paquets chiffrés avec des clés SA de groupe.

Le serveur envoie des messages sa et des actualisations de clés aux membres avec des messages GDOI groupkey-push (Rekey). Le serveur envoie des messages re-clés avant l’expiration des SA afin de s’assurer que les clés valides sont disponibles pour le chiffrement du trafic entre les membres du groupe.

Un message re-clé envoyé par le serveur nécessite un message de reconnaissance (ack) de chaque membre du groupe. Si le serveur ne reçoit pas de message d’ck de la part du membre, le message re-clé est retransmis au niveau de la configuration (le par défaut est retransmission-period de 10 secondes). En l’absence de réponse de la part du membre après la configuration (le membre est par défaut 2 fois), le membre est supprimé des membres inscrits number-of-retransmission du serveur. Le IKE SA entre le serveur et le membre est également supprimé.

Le serveur envoie également des messages re-clés pour fournir de nouvelles clés aux membres lorsque le groupe SA a changé.

Comprendre les limites des VPNNv2 de groupe

Les serveurs VPNv2 de groupe fonctionnent uniquement avec les membres du groupe VPNv2 qui utilisent le RFC 6407, The Group Domain of Interpretation (GDOI).

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Les déclarations suivantes ne sont pas prise en charge dans cette version pour le groupe VPNv2:

  • Celui sur le SNMP.

  • Refusez la politique de Cisco GET VPN server.

  • Prise en charge PKI de l’authentification de IKE phase 1.

  • Colocation du serveur de groupe et du membre, où les fonctions du serveur et des membres coexistent dans le même équipement physique.

  • Les membres des groupes configurés comme clusters de châssis.

  • Interface J-Web pour la configuration et la surveillance.

  • Trafic de données multicast.

La technologie VPNNv2 de groupe n’est pas prise en charge dans les déploiements où les adresses IP ne peuvent pas être conservées, par exemple sur Internet où NAT est utilisée.

Understanding Group VPNv2 Server-Member Communication

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. La communication entre les serveurs permet au serveur d’envoyer des messages GDOI groupkey-push (rekey) aux membres. Si la communication entre les membres du serveur n’est pas configurée pour le groupe, les membres peuvent envoyer des messages GDOI pour s’inscrire et s’inscrire auprès du serveur, mais le serveur n’est pas en mesure d’envoyer de messages aux groupkey-pullgroupkey-push membres.

La communication entre les membres du serveur est configurée pour le groupe en utilisant l’énoncé de server-member-communication configuration au niveau de edit security group-vpn server la [ ] hiérarchie. Les options suivantes peuvent être définies:

  • Algorithme d’authentification (sha-256 ou sha-384) utilisé pour authentifier le membre sur le serveur. Il n’y a pas d’algorithme par défaut.

  • Algorithme de chiffrement utilisé pour les communications entre le serveur et le membre. Vous pouvez spécifier aes-128-sur-aes-192-s, aes-192-sur-s ou aes-256-aes-aes-256-s. Il n’y a pas d’algorithme par défaut.

  • Type de communication unicast pour les messages re-clés envoyés aux membres des groupes.

  • Durée de vie pour la clé de chiffrement (KEK). Le par défaut est de 3 600 secondes.

  • Nombre de fois que le serveur de groupe retransmet des messages à un membre du groupe sans réponse (le temps par défaut est 2 fois) et la période entre les retransmissions (le temps par défaut est groupkey-push de 10 secondes).

Si la communication entre les membres du serveur d’un groupe n’est pas configurée, la liste de membres affichée par la commande indique aux membres du groupe qui se sont inscrits auprès du serveur ; les membres peuvent être actifs ou show security group-vpn server registered-members non. Lorsque la communication entre les membres du serveur d’un groupe est configurée, la liste de membres du groupe est autorisée. Pour le type de communication unicast, la show security group-vpn server registered-members commande affiche uniquement les membres actifs.

Compréhension des opérations clés VPNv2 de groupe

Ce sujet contient les sections suivantes:

Clés de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Le serveur de groupe tient à jour une base de données afin de suivre la relation entre les groupes VPN, les membres des groupes et les clés de groupe. Le serveur télécharge deux types de clés de groupe aux membres:

  • Clé de chiffrement Clé (KEK): utilisée pour chiffrer les échanges SA rekey (GDOI). groupkey-push Un KEK est pris en charge par groupe.

  • Clé de chiffrement du trafic (TEK): utilisée pour chiffrer et déchiffrer le trafic de données IPsec entre les membres du groupe.

La clé associée au SA n’est acceptée par un membre du groupe que si une stratégie de correspondance est configurée sur le membre. Une clé acceptée est installée pour le groupe, tandis qu’une clé rejetée est écartée.

Messages clés en main

Si le groupe est configuré pour les communications entre les serveurs, le serveur envoie des messages sa et des actualisations de clés aux membres du groupe avec des groupkey-push messages re-clés. Les messages re-clés sont envoyés avant l’expiration des SA ; cela garantit que les clés valides sont disponibles pour le chiffrement du trafic entre les membres du groupe.

Le serveur envoie également des messages clés clés aux membres en cas de modification de l’appartenance au groupe ou de la modification du groupe SA (par exemple, une stratégie de groupe est ajoutée ou supprimée).

Les options de communications entre les membres du serveur doivent être configurées sur le serveur pour permettre au serveur d’envoyer des messages clés en main aux membres du groupe.

Le serveur de groupe envoie une copie du message clé en main unicast à chaque membre du groupe. Une fois le message re-clé reçu, les membres doivent envoyer un message d’accusé de réception (ACK) au serveur. Si le serveur ne reçoit pas d’ACK de la part d’un membre (y compris la retransmission de messages clés en main), le serveur considère qu’il est inactif et le supprime de la liste de membres. Le serveur cesse d’envoyer des messages clés en main au membre.

Les déclarations de configuration et les instructions de configuration pour les communications membres du serveur contrôlent le re-transmission des messages clés en main par le serveur lorsqu’aucun ACK n’est reçu number-of-retransmissionretransmission-period d’un membre.

L’intervalle au cours duquel le serveur envoie des messages clés en main est basé sur la valeur de l’énoncé de lifetime-seconds configuration au niveau de la hiérarchie edit security group-vpn server group group-name [] Les nouvelles clés sont générées avant l’expiration des clés KEK et TEK.

Le kek est configuré dans le cadre des communications entre les membres du serveur ; le par défaut est lifetime-seconds de 3 600 secondes. Le TEK est configuré pour la proposition IPsec ; le par défaut est lifetime-seconds de 3 600 secondes.

Inscription aux membres

Si un membre du groupe ne reçoit pas de nouvelle clé SA sur le serveur avant l’expiration de la clé actuelle, le membre doit s’résinsindre au serveur et obtenir les clés mises à jour à l’aide d’un échange groupkey-pull GDOI.

Présentation de la configuration VPNNv2 de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Ce sujet décrit les tâches principales pour la configuration des VPN de groupe VPNv2.

Le contrôleur de groupe/serveur de clés (GCKS) gère les associations de sécurité VPNNv2 de groupe et génère des clés de chiffrement et les distribue aux membres du groupe. Vous pouvez utiliser un cluster de serveurs VPNv2 de groupe pour fournir une redondance GCKS. Voir Understanding Group VPNv2 Server Clusters.

Sur le(s) serveur(s) de groupe, configurez les configurations suivantes:

  1. IKE SA de phase 1. Découvrez understanding IKE phase 1 pour le groupe VPNv2.
  2. SA IPsec. Voir Understanding IPsec SA Configuration for Group VPNv2.
  3. Les informations des groupes VPN, notamment l’identifiant de groupe, les IKE pour les membres du groupe, le nombre maximal de membres du groupe et les communications entre les serveurs. La configuration de groupe comprend une stratégie de groupe qui définit le trafic auquel s’appliquent le SA et les clés. Le cluster de serveur et la fenêtre de temps de protection peuvent être configurés en option. Voir la présentation de la configuration VPNv2 du groupe et sa compréhension de l’orientation du trafic VPNv2 du groupe.

Au membre du groupe, configurez les configurations suivantes:

  1. IKE SA de phase 1. Découvrez understanding IKE phase 1 pour le groupe VPNv2.

  2. SA IPsec. Voir Understanding IPsec SA Configuration for Group VPNv2.

  3. Stratégie IPsec qui définit la zone entrante (généralement un LAN protégé), la zone sortante (généralement un WAN) et le groupe VPN auquel la stratégie s’applique. Des règles d’exclusion ou d’échec ouvertes peuvent également être spécifiées. Voir Understanding Group VPNv2 Traffic Steering (Comprendre l’orientation du trafic VPNv2 de groupe).

  4. Stratégie de sécurité permettant d’autoriser le trafic VPN de groupe entre les zones spécifiées dans la stratégie IPsec.

L’utilisation de vpn de groupe VPNv2 nécessite une topologie de routage qui permet aux équipements clients d’atteindre les sites visés sur l’ensemble du réseau.

Le groupe est configuré sur le serveur avec group l’énoncé de configuration au niveau de edit security group-vpn server la hiérarchie []

Les informations du groupe sont constituées des informations suivantes:

  • Identifiant de groupe: valeur qui identifie le groupe VPN. Le même identifiant de groupe doit être configuré sur le membre du groupe.

  • L’instruction de configuration est configurée par chaque membre ike-gateway du groupe. Cette instruction de configuration peut prendre plusieurs instances, à raison d’une pour chaque membre du groupe.

  • Stratégies de groupe: stratégies à télécharger pour les membres. Les stratégies de groupe décrivent le trafic auquel s’appliquent les sa et clés. Voir Understanding Group VPNv2 Traffic Steering (Comprendre l’orientation du trafic VPNv2 de groupe).

  • Seuil de membre: nombre maximal de membres dans le groupe. Une fois le seuil de membre atteint, un serveur cesse de répondre aux lancements de groupkey-pull la part des nouveaux membres. Voir Understanding Group VPNv2 Server Clusters.

  • Communication entre les serveurs: configuration facultative permettant au serveur d’envoyer des groupkey-push messages clés en main aux membres.

  • Cluster de serveur: configuration facultative qui prend en charge la redondance de contrôleur de groupe/de clé serveur (GCKS). Voir Understanding Group VPNv2 Server Clusters.

  • Antireplay: configuration facultative qui détecte l’interception et la rejeu des paquets. Découvrez understanding Group VPNv2 Antireplay.

Comprendre IKE de phase 1 pour la VPNNv2 de groupe

Un IKE sa de phase 1 entre un serveur de groupe et un membre du groupe établit un canal sécurisé au sein duquel négocier les SA IPsec partagées par un groupe. Pour les VPN IPsec standard sur Juniper Networks de sécurité, la configuration SA de phase 1 consiste à spécifier une proposition, une stratégie et une passerelle de IKE de données.

Pour les VPN de groupe VPNv2, la configuration SA de phase IKE est similaire à celle des VPN IPsec standard, mais elle est exécutée au niveau des hiérarchies edit security group-vpn server ike [ et [ edit security group-vpn member ike ] La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX.

Dans la IKE de proposition, vous définissez la méthode d’authentification et les algorithmes d’authentification et de chiffrement qui seront utilisés pour ouvrir un canal sécurisé entre les participants. Dans la configuration IKE, vous définissez le mode de négociation du canal de phase 1, spécifiez le type d’échange de clés à utiliser et faites référence à la proposition de phase 1. Dans la IKE, vous faites référence à la stratégie de phase 1.

La IKE de proposition et la configuration des stratégies sur le serveur de groupe doivent correspondre IKE et la configuration de la stratégie sur les membres du groupe. Sur un serveur de groupe, une passerelle de IKE est configurée pour chaque membre du groupe. Pour un membre du groupe, jusqu’à quatre adresses serveur peuvent être spécifiées dans la configuration IKE passerelle.

Compréhension de la configuration SA IPsec pour VPNNv2 de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Une fois que le serveur et les membres ont établi un canal sécurisé et authentifié dans le cadre de la négociation de phase 1, ils établissent les SA IPsec partagées par les membres du groupe pour sécuriser les données transmises par les membres. Bien que la configuration SA IPsec pour VPN de groupe VPNv2 soit similaire à celle des VPN standard, un membre du groupe n’a pas besoin de négocier le SA avec les autres membres du groupe.

La configuration IPsec pour VPN de groupe VPNv2 se compose des informations suivantes:

  • Sur le serveur de groupe, une proposition IPsec est configurée pour l’algorithme de protocole de sécurité, d’authentification et de chiffrement à utiliser pour le sa. La proposition SA IPsec est configurée sur le serveur de groupe avec l’énoncé de proposal configuration au niveau de la hiérarchie edit security group-vpn server ipsec []

  • Un IKE clé en main est configuré pour faire référence à l’identifiant de groupe, au serveur de groupe (configuré avec l’énoncé de configuration) et à l’interface utilisée par le membre pour se connecter aux pairs du ike-gateway groupe. L’IKE clé en main est configurée sur le membre avec l’énoncé de vpn configuration au niveau de la hiérarchie edit security group-vpn member ipsec []

Compréhension de l’orientation du trafic VPNv2 de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Le serveur de groupe distribue des associations de sécurité IPsec et des clés aux membres d’un groupe spécifié. Tous les membres du même groupe partagent les mêmes SA IPsec. Le sa installé sur un membre de groupe spécifique est déterminé par la stratégie associée au sa de groupe et la stratégie IPsec configurée sur le membre du groupe.

Stratégies de groupe configurées sur les serveurs de groupe

Dans un groupe VPN, chaque groupe SA et la clé que le serveur pousse à un membre sont associées à une stratégie de groupe. La stratégie de groupe décrit le trafic sur lequel la clé doit être utilisée, y compris le protocole, l’adresse source, le port source, l’adresse de destination et le port de destination. Sur le serveur, la stratégie de groupe est configurée avec les options au niveau match-policy policy-nameedit security group-vpn server group name ipsec-sa name de [ ] hiérarchie.

Les stratégies de groupe identiques (configurées avec les mêmes valeurs d’adresse source, de destination, de port source, de port de destination et de protocole) ne peuvent pas exister pour un seul groupe. Une erreur est renvoyée si vous tentez de valider une configuration contenant des stratégies de groupe identiques pour un groupe. Si cela se produit, vous devez supprimer l’une des stratégies de groupe identiques pour pouvoir valider la configuration.

Stratégies IPsec configurées sur les membres des groupes

Au sein du groupe, une stratégie IPsec se compose des informations suivantes:

  • Zone entrante ( from-zone ) pour le trafic de groupe.

  • Zone sortante to-zone () pour le trafic de groupe.

  • Le nom du groupe auquel s’applique la politique IPsec. Un seul nom de groupe VPNv2 peut être référencé par une paire spécifique de zone à zone.

L’interface utilisée par le membre du groupe pour se connecter au VPNNv2 du groupe doit appartenir à la zone sortante. Cette interface est spécifiée avec group-vpn-external-interface l’instruction au niveau [ ] de la edit security group-vpn member ipsec vpn vpn-name hiérarchie.

La stratégie IPsec du membre du groupe est configurée au niveau de edit security ipsec-policy [ ] hiérarchie. Le trafic qui correspond à la stratégie IPsec est ensuite contrôlé contre les règles ouvertes d’échec et d’exclusion qui sont configurées pour le groupe.

Fermeture en cas d’échec

Par défaut, le trafic qui ne correspond pas à des règles ou des stratégies de groupe ouvertes ou de défaillance du serveur de groupe est bloqué ; c’est ce qu’on appelle le « fail-close ».

Règles ouvertes pour l’exclusion et l’échec

Les types de règles suivants peuvent être configurés pour chaque groupe de membres:

  • Trafic non chiffré. Ce type de trafic peut être utilisé par exemple pour BGP protocoles OSPF routage de nouvelle catégorie. Pour exclure le trafic d’un groupe, utilisez la set security group-vpn member ipsec vpn vpn-name exclude rule configuration. Un maximum de 10 règles peut être configuré.

  • Trafic essentiel au fonctionnement du client et envoyé en clair (non crypté) si le membre du groupe n’a pas reçu de clé de chiffrement du trafic (TEK) valide pour le SA IPsec. Les règles ouvertes pour échec permettent d’autoriser ce flux de trafic alors que tout le reste du trafic est bloqué. Activez l’ouverture de panne avec la set security group-vpn member ipsec vpn vpn-name fail-open rule configuration. Un maximum de 10 règles ouvertes pour les pannes peut être configuré.

Priorités des règles et politiques IPsec

Les règles et polices IPsec ont les priorités suivantes pour le membre du groupe:

  1. Exclure des règles qui définissent le trafic pour l’exclure du chiffrement VPN.

  2. Téléchargez les stratégies de groupe à partir du serveur de groupe.

  3. Règles ouvertes d’échec qui définissent le trafic envoyé en cleartext s’il n’y a pas de TEK valide pour le SA.

  4. Stratégie de fermeture des pannes qui bloque le trafic. Il s’agit de la valeur par défaut si le trafic ne correspond pas aux règles ouvertes ou à l’échec ou aux stratégies de groupe.

Compréhension du processus d’évaluation de récupération VPNv2 de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Deux situations peuvent indiquer qu’un membre du groupe n’est plus en synchronisation avec le serveur du groupe et les autres membres du groupe:

  • Le membre du groupe reçoit un paquet ESP (Encapsulating Security Payload) contenant un index SPI (Security Parameter Index) non reconnu.

  • Il y a un trafic IPsec sortant mais aucun trafic IPsec entrant sur le membre du groupe.

Une fois l’une ou l’autre de ces situations détectées, un processus d’évaluation de récupération peut être déclenché sur le membre du groupe. Le processus d’sonde de récupération initie des échanges GDOI à des intervalles spécifiques pour mettre à jour le sa du membre depuis le serveur groupkey-pull de groupe. Si une attaque de DoS de paquets SPI erronées ou si l’expéditeur lui-même est hors synchronisation, la indication d’hors synchronisation sur le membre du groupe peut être une fausse alarme. Pour éviter de surcharger le système, le lancement est retragé à intervalles de groupkey-pull 10, 20, 40, 80, 160 et 320 secondes.

Le processus d’évaluation de récupération est désactivé par défaut. Pour activer le processus d’évaluation de récupération, configurez-le au recovery-probe niveau de [ ] edit security group-vpn member ipsec vpn vpn-name hiérarchie.

Understanding Group VPNv2 Antireplay

L’anti-VPNv2 de groupe est pris en charge sur les instances de vSRX et sur tous les équipements SRX Series, à l’exception des SRX5400, SRX5600 et SRX5800 périphériques. L’anti-attaque est une fonctionnalité IPsec qui peut détecter lorsqu’un paquet est intercepté, puis rejeu par les pirates. L’antireplay est désactivé par défaut pour un groupe.

Chaque paquet IPsec contient un timestamp. Le membre du groupe vérifie si l’délai d’attente du paquet tombe dans la valeur anti-replay-time-window configurée. Un paquet est abandonné si le timestamp dépasse la valeur.

Nous recommandons de configurer la fonction NTP sur tous les équipements qui supportent l’antireplay VPNv2 de groupe.

Les membres des groupes qui s’exécutent sur vSRX instances sur une machine hôte où l’hyperviseur s’exécute sous une charge importante peuvent faire l’expérience de problèmes qui peuvent être corrigés en reconfigurant la anti-replay-time-window valeur. Si les données qui sont en correspondance avec la stratégie IPsec sur le membre du groupe ne sont pas transférées, vérifiez la sortie pour y voir plus d’éventuelles show security group-vpn member ipsec statistics erreurs D3P. Assurez-vous que le système NTP fonctionne correctement. En cas d’erreur, ajustez la anti-replay-time-window valeur.

Exemple: Configuration d’un serveur VPNNv2 de groupe et des membres

Cet exemple montre comment configurer un serveur VPNNv2 de groupe pour fournir une prise en charge de GCKS (Group Controller/Key Server) aux membres du groupe VPNv2. La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX.

Conditions préalables

L’exemple utilise les composants matériels et logiciels suivants:

  • Une instance SRX Series ou une instance vSRX prise en charge Junos OS version 15.1X49-D30 ou ultérieure qui prend en charge la VPNNv2 de groupe. Cette SRX Series ou vSRX instance mobile fonctionne comme un serveur VPNNv2 de groupe.

  • Deux équipements SRX Series ou vSRX instances de Junos OS version 15.1X49-D30 version ultérieures qui supportent la VPNNv2 de groupe. Ces équipements ou instances fonctionnent en tant que membres de groupe VPNv2.

  • Deux équipements MX Series pris en charge Junos OS version 15.1R2 version ultérieure qui supportent la VPNNv2 de groupe. Ces équipements fonctionnent en tant que membres de groupe VPNv2.

Un nom d’hôte, un mot de passe de l’administrateur racine et un accès de gestion doivent être configurés sur chaque équipement. Il est également recommandé que la fonction NTP soit également configurée sur chaque équipement.

L’utilisation de vpn de groupe VPNv2 nécessite une topologie de routage qui permet aux équipements clients d’atteindre les sites visés sur l’ensemble du réseau. Ces exemples se concentrent sur la configuration des vpn VPNv2 de groupe ; la configuration de routage n’est pas décrite.

Présentation

Dans cet exemple, le réseau VPNv2 de groupe se compose d’un serveur et de quatre membres. Deux des membres sont des équipements SRX Series instances vSRX instances, tandis que les deux autres sont MX Series périphériques. Les SA VPN de groupe partagés sécurisationnt le trafic entre les membres du groupe.

Les SA VPN de groupe doivent être protégés par un SA de phase 1. La configuration VPN du groupe doit donc inclure la configuration IKE des négociations de phase 1 sur le serveur du groupe et sur les membres du groupe.

Le même identifiant de groupe doit être configuré à la fois sur le serveur du groupe et sur les membres du groupe. Dans cet exemple, le nom du groupe GROUP_ID-0001 et l’identifiant de groupe 1. La stratégie de groupe configurée sur le serveur spécifie que le SA et la clé sont appliqués au trafic entre sous-réseaux de la plage 172.16.0.0/12.

Sur les groupes SRX ou vSRX, une stratégie IPsec est configurée pour le groupe en tant que zone LAN en tant que zone de la zone (trafic entrant) et la zone WAN comme zone vers la zone (trafic sortant). Une stratégie de sécurité est également nécessaire pour autoriser le trafic entre les zones LAN et WAN.

Topologie

Figure 3 indique les Juniper Networks d’accès à configurer pour cet exemple.

Figure 3 : Serveur VPNv2 de groupe avec SRX ou vSRX et MX Series membresServeur VPNv2 de groupe avec SRX ou vSRX et MX Series membres

Configuration

Configuration du serveur de groupe

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le serveur VPNv2 de groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez les routes statiques.

  3. Configurez le IKE de proposition, de stratégie et de passerelles.

  4. Configurez la proposition IPsec.

  5. Configurez le groupe.

  6. Configurer les communications entre serveurs.

  7. Configurez la stratégie du groupe pour qu’elle soit téléchargée aux membres du groupe.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow routing-options commandes et les . show security Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration du membre du groupe GM-0001 (SRX Series ou vSRX instance)

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez les routes statiques.

  3. Configurez le IKE, la stratégie et la passerelle.

  4. Configurez le SA IPsec.

  5. Configurez la stratégie IPsec.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow routing-options commandes et les . show security Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration du membre du groupe GM-0002 (SRX Series ou vSRX instance)

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez les routes statiques.

  3. Configurez le IKE, la stratégie et la passerelle.

  4. Configurez le SA IPsec.

  5. Configurez la stratégie IPsec.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow routing-options commandes et les . show security Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration du membre du groupe GM-0003 (MX Series groupe)

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces.

  2. Configurer le routage.

  3. Configurez IKE de proposition, de stratégie et de passerelle.

  4. Configurez le SA IPsec.

  5. Configurez le filtre de service.

  6. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces commandes , et le show routing-optionsshow securityshow services , show firewall Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration du membre du groupe GM-0004 (MX Series’équipement)

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces.

  2. Configurer le routage.

  3. Configurez IKE de proposition, de stratégie et de passerelle.

  4. Configurez le SA IPsec.

  5. Configurez le filtre de service.

  6. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces commandes , et le show routing-optionsshow securityshow services , show firewall Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Vérification de l’inscription des membres du groupe

But

Vérifiez que les membres du groupe sont enregistrés sur le serveur.

Action

À partir du mode opérationnel, saisissez show security group-vpn server registered-members les commandes sur le show security group-vpn server registered-members detail serveur.

Vérification de la distribution des clés de groupe

But

Vérifiez que les clés du groupe sont distribuées aux membres.

Action

À partir du mode opérationnel, saisissez show security group-vpn server statistics la commande sur le serveur de groupe.

Vérification des SA VPN de groupe sur le serveur de groupe

But

Vérifier les SA VPN de groupe sur le serveur de groupe.

Action

À partir du mode opérationnel, saisissez show security group-vpn server kek security-associations les commandes sur le serveur de show security group-vpn server kek security-associations detail groupe.

Vérification des SA VPN de groupe sur les membres du groupe

But

Vérifier les SA VPN de groupe sur les membres du groupe.

Action

À partir du mode opérationnel, saisissez les commandes du show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail pare-vSRX SRX.

À partir du mode opérationnel, saisissez les commandes du membre du MX Series show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail groupe.

Vérification des SA IPsec sur le serveur de groupe

But

Vérifiez les SA IPsec sur le serveur de groupe.

Action

À partir du mode opérationnel, saisissez show security group-vpn server ipsec security-associations les commandes sur le serveur de show security group-vpn server ipsec security-associations detail groupe.

Vérification des SA IPsec sur les membres du groupe

But

Vérifier les SA IPsec sur les membres du groupe.

Action

À partir du mode opérationnel, saisissez les commandes du show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail pare-vSRX SRX.

À partir du mode opérationnel, saisissez les commandes du membre du MX Series show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail groupe.

Vérification des polices de groupe (SRX ou vSRX membres du groupe uniquement)

But

Vérifier les polices de groupe sur les SRX vSRX groupe de membres.

Action

À partir du mode opérationnel, show security group-vpn member policy saisissez la commande sur le membre du groupe.

Exemple: Configuration des communications de groupe VPNv2 serveur-membre pour les messages clés en main Unicast

Cet exemple montre comment permettre au serveur d’envoyer des messages clés en mode unicast re-key aux membres du groupe afin de s’assurer que les clés valides sont disponibles pour le chiffrement du trafic entre les membres du groupe. La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX.

Conditions préalables

Avant de commencer:

  • Configurer le serveur du groupe et les membres pour une négociation IKE phase 1.

  • Configurez le serveur de groupe et les membres pour IPsec SA.

  • Configurez le groupe g1 sur le serveur de groupe.

Présentation

Dans cet exemple, vous spécifiez les paramètres de communication suivants pour le groupe de membres du g1 serveur:

  • Le serveur envoie des messages unicast rekey aux membres du groupe.

  • aes-128-s est utilisé pour chiffrer le trafic entre le serveur et les membres.

  • sha-256 est utilisé pour l’authentification des membres.

Les valeurs par défaut sont utilisées pour la durée de vie et les retransmissions du KEK.

Configuration

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode.

Pour configurer la communication entre les serveurs:

  1. Définissez le type de communication.

  2. Définissez l’algorithme de chiffrement.

  3. Définissez l’authentification des membres.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show security group-vpn server group g1 server-member-communication commande.