Настройка VPN на основе политик IPsec с сертификатами
В этом примере показано, как настраивать, проверять и устранять неполадки PKI. Данная тема включает в себя следующие разделы:
Требования
В данном примере используются следующие аппаратные и программные компоненты:
Junos OS версии 9.4 или более поздней
Juniper Networks обеспечения безопасности
Перед началом работы:
Убедитесь, что внутренний интерфейс локальной сети устройства серия SRX является ge-0/0/0 в доверии зоны и имеет частную IP-подсеть.
Убедитесь, что интерфейс Интернета устройства имеет открытый IP-адрес ge-0/0/3 в зоне untrust.
Убедитесь, что весь трафик между локальной и удаленной локальными командами разрешен и трафик может быть инициирован с любой из сторон.
Убедитесь, что SSG5 был предварительно сконфигурован правильно и загружен с готовым к использованию локальным сертификатом, CA сертификатом и CRL.
Убедитесь, что устройство SSG5 настроено на использование FQDN ssg5.example.net (IKE ID).
Убедитесь, что сертификаты PKI с 1024-битными ключами используются для IKE согласования на обеих сторонах.
Убедитесь, что CA является автономным CA доменом и example.com для обоих одноранговых vpn-одноранговых узла.
Обзор
Рис. 1 показывает топологию сети, используемую в этом примере для настройки VPN на основе политик IPsec для обеспечения безопасной передачи данных между корпоративным офисом и удаленным офисом.
Администрирование PKI одинаково для VPN на основе политик и VPN на основе маршрутов.
В этом примере трафик VPN входящий на интерфейс ge-0/0/0.0 со следующим переходом 10.1.1.1. Таким образом, трафик исходя из интерфейса ge-0/0/3.0. Любая политика туннеля должна учитывать входящие и исходячие интерфейсы.
При желании можно использовать протокол динамической маршрутки, такой как OSPF (не описанный в этом документе). При обработке первого пакета нового сеанса устройство, Junos OS выполняет сначала просмотр маршрута. Статический маршрут, который также является маршрутом по умолчанию, определяет зону для исходяного трафика VPN.
Многие ЦС используют имена хостов (например, FQDN) для указания различных элементов PKI. Поскольку CDP обычно определяется с использованием URL, содержащего FQDN, необходимо настроить DNS-дейтатор на устройстве, на котором Junos OS.
Запрос сертификата может быть создан следующими способами:
Создание профиля CA для указания CA настроек
Создание запроса сертификата PKCS10
Процесс запроса сертификата PKCS10 включает в себя создание пары открытых или частных ключей, а затем создание запроса сертификата самостоятельно с использованием пары ключей.
Обратите внимание на следующую информацию о профиле CA:
Профиль CA определяет атрибуты центр сертификации.
Каждый CA связан с сертификатом CA сети. Если необходимо загрузить новый или CA сертификат без удаления более старого CA сертификата, необходимо создать новый профиль. Этот профиль также можно использовать для интерактивного получения CRL.
В системе может быть несколько таких профилей, созданных для различных пользователей.
Если указан CA-адрес электронной почты администратора для отправки запроса сертификата, система составляет электронное письмо из файла запроса сертификата и пересылает его на указанный адрес электронной почты. Уведомление о состоянии электронной почты отправляется администратору.
Запрос сертификата можно отправить на CA посредством вне диапазона.
Для создания запроса сертификата PKCS10 доступны следующие параметры:
certificate-id— Имя локального цифрового сертификата и пары открытых/частных ключей. Это гарантирует, что правильная пара ключей используется для запроса сертификата и, в конечном итоге, для локального сертификата.Начиная с Junos OS выпуска 19.1R1, добавляется проверка сфиксий, которая не позволяет пользователю добавлять и пробел в идентификаторе сертификата при создании локального или удаленного сертификата или пары
./%ключей.subject- Различается формат имен, который содержит общее имя, отдел, название компании, состояние и страну:CN — общее имя
OU — отдел
O — название компании
L — локальность
ST — состояние
C — Страна
CN — телефон
DC — компонент домена
Не обязательно вводить все компоненты subject name. Обратите также внимание, что можно ввести несколько значений каждого типа.
domain-name— FQDN. FQDN предоставляет идентификацию владельца сертификата для согласования IKE и предоставляет альтернативу имени субъекта.filename (path | terminal)(Дополнительно) Местоположение размещения запроса сертификата или терминал входа.ip-address( Необязательно) IP-адрес устройства.email( Необязательно) Адрес электронной почты администратора CA.Необходимо использовать доменное имя, IP-адрес или адрес электронной почты.
Созданный запрос сертификата хранится в указанном месте файла. Локализованная копия запроса сертификата сохранена в локальном хранилище сертификатов. Если администратор повторно ввел эту команду, запрос сертификата будет сгенерирован повторно.
Запрос сертификата PKCS10 хранится в указанном файле и расположении, из которого можно загрузить его и отправить на CA для регистрации. Если имя файла или местоположение не заданы, можно получить сведения о запросе сертификата PKCS10, используя команду в show security pki certificate-request certificate-id <id-name> интерфейс командной строки. Можно скопировать выходные данные команды и вкопировать ее на веб-CA сервера или в электронную почту.
Запрос сертификата PKCS10 генерируется и хранится в системе как ожидаемый сертификат или запрос сертификата. Администратору системы отправляется уведомление по электронной почте CA (в этом примере certadmin@example.com).
Для имени сформированной пары ключей используется уникальная идентификация, называемая идентификатором сертификата. Этот ID также используется в командах регистрации сертификатов и запросах для получения правильной пары ключей. Сгенерированная пара ключей сохраняется в хранилище сертификатов в файле с таким же именем, что и сертификат-ID. Размер файла может быть 1024 или 2048 бит.
Профиль по умолчанию (fallback) может быть создан, если промежуточные ЦС не предустановлены в устройстве. Значения профиля по умолчанию используются при отсутствии специально настроенного CA профиля.
В случае с CDP за следующим порядком:
Профиль CA сети
CDP, встроенный в CA сертификат
Профиль CA по умолчанию
Рекомендуется использовать специальный профиль CA, а не профиль по умолчанию.
Администратор передает запрос сертификата на CA. Администратор CA проверяет запрос сертификата и генерирует новый сертификат для устройства. Администратор для этого Juniper Networks извлекает его вместе с сертификатом CA и CRL.
Процесс CA сертификата, нового локального сертификата устройства и CRL из CA зависит от конфигурации CA используемого программного обеспечения.
Junos OS поддерживает следующие поставщики CA:
Доверить
Verisign
Microsoft
Хотя для CA сертификатов могут использоваться другие программные службы, такие как OpenSSL, эти сертификаты не Junos OS.
Конфигурации
- Базовая конфигурация PKI
- Настройка профиля CA сети
- Создание пары открытых и частных ключей
- Регистрация локального сертификата
- Загрузка CA локальных сертификатов
- Настройка IPsec VPN с сертификатами
Базовая конфигурация PKI
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.
Для настройки PKI:
Настройте IP-адрес и семейство протоколов на интерфейсах Gigabit Ethernet.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
Настройте стандартный маршрут к Интернету на следующем переходе.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
Установите системные время и дату.
[edit] user@host# set system time-zone PST8PDT
После подтверждения конфигурации проверьте параметры часов с помощью
show system uptimeэтой команды.user@host> show system uptime Current time: 2007-11-01 17:57:09 PDT System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago) Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago) Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root 5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
Установите адрес сервера NTP.
user@host> set date ntp 130.126.24.24 1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645 sec
Установите конфигурацию DNS.
[edit] user@host# set system name-server 172.31.2.1 user@host# set system name-server 172.31.2.2
Настройка профиля CA сети
Пошаговая процедура
-
Создайте доверенный CA профиль.
[edit] user@host# set security pki ca-profile ms-ca ca-identity example.com
-
Создайте проверку отзыва, чтобы указать метод проверки отзыва сертификата.
Установите интервал обновления в часах, чтобы указать частоту обновления CRL. Значения по умолчанию — время следующего обновления в CRL или 1 неделю, если время следующего обновления не задано.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
В утверждениях конфигурации можно использовать эту возможность для отключения проверки отзыва или выбора параметра настройки атрибутов
revocation-checkdisablecrlCRL. Можно выбрать параметр, чтобы разрешить сеансы, совпадающие с CA профиля, когда не удалось загрузить CRL для CAdisable on-download-failureпрофиля. Сеансы будут разрешены, только если старый CRL не присутствует в том же CA профиле. -
Укажите расположение (URL) для извлечения CRL (HTTP или LDAP). По умолчанию URL-адрес пуст и использует информацию CDP, встроенную в CA сертификата.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/CertEnroll/EXAMPLE.crl
В настоящее время можно настроить только один URL. Поддержка конфигурации резервного URL недоступна.
-
Укажите адрес электронной почты для отправки запроса сертификата непосредственно CA администратору.
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
-
Сфиксировать конфигурацию:
user@host# commit and-quit
commit completeExiting configuration mode
Создание пары открытых и частных ключей
Пошаговая процедура
Если профиль CA, следующим шагом будет создание пары ключей на Juniper Networks устройстве. Чтобы создать пару частных и общедоступных ключей:
Создайте пару ключей сертификата.
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024
Результаты
После того, как пара открытых и частных ключей сгенерирована, Juniper Networks устройство отображает следующее:
Generated key pair ms-cert, key size 1024 bits
Регистрация локального сертификата
Пошаговая процедура
-
Сгенерировать локальный запрос цифрового сертификата в формате PKCS-10. См. запрос безопасности pki generate-certificate-request.
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-cert-req Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr 4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws -----END CERTIFICATE REQUEST----- Fingerprint: 47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1) a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
В примере сертификата PKCS10 запрос начинается с строки BEGIN CERTIFICATE REQUEST, заканчивается и включает строку END CERTIFICATE REQUEST. Этот фрагмент можно скопировать и вкопировать в CA для регистрации. Можно также разгрузить файл ms-cert-req и отправить его на CA.
-
Отправьте запрос сертификата на CA и извлекли сертификат.
Загрузка CA локальных сертификатов
Пошаговая процедура
Загрузить локальный сертификат, CA сертификат и CRL.
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
С помощью этой команды можно проверить, что были загружены все
file listфайлы.Загрузит сертификат в локальное хранилище из указанного внешнего файла.
Необходимо также указать ID сертификата, чтобы поддерживать правильную связь с парой частных или общедоступных ключей. Этот шаг загружает сертификат в кэш RAM модуля PKI, проверяет связанный частный ключ и проверяет операцию подписывания.
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer Local certificate loaded successfully
Загрузит CA из указанного внешнего файла.
Необходимо указать профиль CA, чтобы связать сертификат CA с настроенным профилем.
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5) Do you want to load this CA certificate ? [yes,no] (no) yes CA certificate for profile ms-ca loaded successfully
Загрузит CRL в локальное хранилище.
Максимальный размер CRL составляет 5 МБ. Необходимо указать связанный CA профиль в команде.
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl CRL for CA profile ms-ca loaded successfully
Результаты
Убедитесь, что загружены все локальные сертификаты.
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate identifier: ms-cert Certificate version: 3 Serial number: 3a01c5a0000000000011 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: LAB Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: john doe Alternate subject: "user@example.net", fqdn empty, ip empty Validity: Not before: 11- 2-2007 22:54 Not after: 11- 2-2008 23:04 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe 1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85 15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca 1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31 31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94 8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd 69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://labsrv1.domain.com/CertEnroll/LAB.crl Fingerprint: c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1) 50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
Индивидуальные сведения о сертификате можно отобразить, указав сертификат-ID в командной строке.
Проверьте все CA сертификаты или CA отдельных CA (указанных).
user@host> show security pki ca-certificate ca-profile ms-ca detail Certificate identifier: ms-ca Certificate version: 3 Serial number: 44b033d1e5e158b44597d143bbfa8a13 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Validity: Not before: 09-25-2007 20:32 Not after: 09-25-2012 20:41 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56 11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0 8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e 7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72 27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e 30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03 ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://srv1.domain.com/CertEnroll/LAB.crl Use for key: CRL signing, Certificate signing, Non repudiation Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
Проверьте все загруженные CRLs или CRLs указанного отдельного CA профиль.
user@host> show security pki crl ca-profile ms-ca detail CA profile: ms-ca CRL version: V00000001 CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA, L = Sunnyvale, O = Example, OU = example, CN = example Effective date: 10-30-2007 20:32 Next update: 11- 7-2007 08:52
Проверьте путь сертификата локального сертификата и сертификат CA сертификата.
user@host> request security pki local-certificate verify certificate-id ms-cert Local certificate ms-cert verification success user@host> request security pki ca-certificate verify ca-profile ms-ca CA certificate ms-ca verified successfully
Настройка IPsec VPN с сертификатами
Пошаговая процедура
Чтобы настроить VPN IPsec с сертификатом, обратитесь к схеме сети, показанной в Рис. 1
Настройте зоны безопасности и назначьте интерфейсы зонам.
В этом примере пакеты входящие, и
ge-0/0/0входящие зоны являются trust-зоной.[edit security zones security-zone] user@host# set trust interfaces ge-0/0/0.0 user@host# set untrust interfaces ge-0/0/3.0
Настройте входящие службы хоста для каждой зоны.
Входящие хост-сервисы предназначены для трафика, предназначенного Juniper Networks устройству. Эти параметры включают, но не ограничиваются FTP, HTTP, HTTPS, IKE, ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP и traceroute.
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic system-services ike
Настройте записи адресной книги для каждой зоны.
[edit security zones security-zone] user@host# set trust address-book address local-net 192.168.10.0/24 user@host# set untrust address-book address remote-net 192.168.168.0/24
Настройте предложение IKE (фаза 1) для использования шифрования RSA.
[edit security ike proposal rsa-prop1] user@host# set authentication-method rsa-signatures user@host# set encryption-algorithm 3des-cbc user@host# set authentication-algorithm sha1 user@host# set dh-group group2
Настройте политику IKE настройке.
Обмен данными в фазе 1 может происходить либо в основном, либо в агрессивном режиме.
[edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals rsa-prop1 user@host# set certificate local-certificate ms-cert user@host# set certificate peer-certificate-type x509- signature user@host# set certificate trusted-ca use-all
Настройте IKE шлюза.
В этом примере одноранговая точка идентифицирована по FQDN (имя узла). Таким образом, IKE шлюза должен быть доменным именем удаленного одноранговых узла. Необходимо указать правильный внешний интерфейс или идентификацию узла для правильной идентификации IKE шлюза во время фазы 1.
[edit security ike gateway ike-gate] user@host# set external-interface ge-0/0/3.0 user@host# set ike-policy ike-policy1 user@host# set dynamic hostname ssg5.example.net
Настройте политику IPsec.
В данном примере используется набор предложений Стандарт, который включает
esp-group2-3des-sha1esp-group2- aes128-sha1и предложения. Однако, при необходимости можно создать уникальное предложение, а затем укаптить его в политике IPsec.[edit security ipsec policy vpn-policy1] user@host# set proposal-set standard user@host# set perfect-forward-secrecy keys group2
Настройте VPN для IPsec с помощью IKE шлюза и политики IPsec.
В данном примере имя ike-VPN VPN должно быть занося в политике туннеля для создания ассоциации безопасности. Кроме того, если они отличаются от адресов политики туннеля, можно при необходимости усредать время простоя и ID прокси-сервера.
[edit security ipsec vpn ike-vpn ike] user@host# set gateway ike-gate user@host# set ipsec-policy vpn-policy1
Настройте политики двнаправленного туннеля для трафика VPN.
В этом примере трафику из локальной сети хоста в удаленную офисную LAN требуется политика "из зоны доверия в зону с не доверия". Однако, если сеанс должен исходить из удаленной LAN в LAN хоста, также требуется политика туннеля в противоположном направлении от ненадеченной зоны к доверию зоны. Когда политика указывается в противоположном направлении в качестве политики для пары, VPN становится двухнаправленной. Обратите внимание, что помимо действия permit необходимо также указать профиль IPsec, который будет использоваться. Обратите внимание, что для политик туннеля действие всегда разрешается. Фактически при настройке политики с действием запрета параметр для указания туннеля не будет указан.
[edit security policies from-zone trust to-zone untrust] user@host# set policy tunnel-policy-out match source-address local-net user@host# set policy tunnel-policy-out match destination-address remote-net user@host# set policy tunnel-policy-out match application any user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-in user@host# top edit security policies from-zone untrust to-zone trust user@host# set policy tunnel-policy-in match source-address remote-net user@host# set policy tunnel-policy-in match destination-address local-net user@host# set policy tunnel-policy-in match application any user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-out
Настройте правило источника NAT правила и политику безопасности для Интернет-трафика.
Устройство использует заданный интерфейс source-nat и преобразует IP-адрес и порт источника для исходя трафика, используя IP-адрес выходного интерфейса в качестве IP-адреса источника и случайный порт с более высоким для порта источника. При необходимости можно создать более подробную политику разрешения или запрета определенного трафика.
[edit security nat source rule-set nat-out] user@host#set from zone trust user@host#set to zone untrust user@host#set rule interface-nat match source-address 192.168.10.0/24 user@host#set rule interface-nat match destination-address 0.0.0.0/0 user@host#set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust] user@host# set policy any-permit match source-address any user@host# set policy any-permit match destination-address any user@host# set policy any-permit match application any user@host# set policy any-permit then permit
Переместить политику туннеля над политикой any-permit.
[edit security policies from-zone trust to-zone untrust] user@host# insert policy tunnel-policy-out before policy any-permit
Политика безопасности должна быть ниже политики туннеля в иерархии, так как список политик считыется сверху вниз. Если эта политика превышает политику туннеля, трафик всегда будет соответствовать этой политике и не будет продолжать следующую политику. Таким образом, никакой пользовательский трафик не будет зашифрован.
Настройте параметр tcp-mss для TCP-трафика через туннель.
TCP-MSS согласовываться как часть TCP-3-way-соглашения о согласовании. Он ограничивает максимальный размер сегмента TCP, чтобы MTU пределы сети. Это очень важно для трафика VPN, так как с использованием накладных расходов на инкапсуляцию IP и кадра итоговый пакет ESP может превышать MTU физического интерфейса, что приводит к фрагментации. Поскольку фрагментация увеличивает использование ресурсов полосы пропускания и устройств и в общем ее следует избегать.
Рекомендуемое значение для tcp-mss составляет 1350 для большинства сетей на основе Ethernet с MTU 1500 или выше. Данное значение может потребовать изменения, если любое устройство на пути имеет меньшее значение MTU или если имеются добавленные накладные расходы, такие как PPP, Frame Relay и так далее. Как правило, для получения оптимальной производительности может потребоваться экспериментировать с различными значениями tcp-mss.
user@host# set security flow tcp-mss ipsec-vpn mss mss-value Example: [edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350 user@host# commit and-quit commit complete Exiting configuration mode
Проверки
Подтвердим, что конфигурация работает правильно.
- Подтверждение IKE фазы 1
- Получение сведений об отдельных ассоциациях безопасности
- Подтверждение состояния фазы 2 IPsec
- Отображение сведений о ассоциации безопасности IPsec
- Проверка статистики безопасности IPsec SA
- Проверка потока трафика через VPN
- Подтверждение возможности подключения
Подтверждение IKE фазы 1
Цель
Подтвердит состояние VPN, проверив все IKE состояния ассоциаций безопасности фазы 1.
PKI, связанный с туннелями IPsec, формируется во время установки фазы 1. Завершение фазы 1 означает, что PKI был успешен.
Действий
В рабочем режиме введите show security ike security-associations команду.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
Смысл
Выходные данные показывают, что:
Удаленный одноранговая связь – 10.2.2.2, а состояние UP означает успешное установление фазы 1.
Удаленный одноранговой IKE, политика IKE и внешние интерфейсы все в правильном режиме.
Индекс 20 является уникальным значением для каждого IKE безопасности. Эти выходные данные можно использовать для получения дополнительных сведений о каждом ассоциации безопасности. См. Получение сведений об отдельных ассоциациях безопасности .
Неверные выходные данные указывают на то, что:
Состояние удаленного одноранговых узла – "Down".
Не существует IKE безопасности.
Существуют IKE политики, такие как неверный тип режима (Aggr или Main), проблемы PKI или предложения фазы 1 (все должны соответствовать обоим одноранговим узлам). Дополнительные сведения Устранение неполадок IKE, PKI и IPsec см. в .
Внешний интерфейс недействителен для получения IKE пакетов. Проверьте конфигурации для проблем, связанных с PKI, проверьте журнал ключа демон управления (кмd) на любые другие ошибки или запустите параметры трассировки, чтобы обнаружить несоответствие. Дополнительные сведения Устранение неполадок IKE, PKI и IPsec см. в .
Получение сведений об отдельных ассоциациях безопасности
Цель
Подробнее об отдельных IKE.
Действий
В рабочем режиме введите show security ike security-associations index 20 detail команду.
user@host> show security ike security-associations index 20 detail IKE peer 10.2.2.2, Index 20, Role: Responder, State: UP Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21 Exchange type: Main, Authentication method: RSA-signatures Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 23282 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 10249 Output bytes : 4249 Input packets: 10 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 1 deleted Phase 2 negotiations in progress: 0
Смысл
Выходные данные показывают данные отдельных IKE безопасности, такие как роль (инициатор или ответчик), состояние, тип обмена, метод аутентификации, алгоритмы шифрования, статистика трафика, состояние согласования фазы 2 и так далее.
Выходные данные можно использовать для:
Знать роль IKE SA. Поиск и устранение неисправностей упрощается, если одноранговая ролевая компания играет роль ответчика.
Получите статистику трафика, чтобы проверить поток трафика в обоих направлениях.
Получите число ассоциаций безопасности IPsec, созданных или в процессе выполнения.
Получите состояние всех завершенных согласований фазы 2.
Подтверждение состояния фазы 2 IPsec
Цель
Просмотр ассоциаций безопасности IPsec (фаза 2).
Когда IKE фаза 1 подтверждена, см. ассоциации безопасности IPsec (фаза 2).
Действий
В рабочем режиме введите show security ipsec security-associations команду.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0 >2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
Смысл
Выходные данные показывают, что:
Имеется настроенная пара SA IPsec. Номер порта 500 указывает на то, что IKE используется стандартный порт. В противном случае это преобразование сетевых адресов-Traversal (NAT-T), 4500 или случайный высокий порт.
Индекс параметра безопасности (SPI) используется для обоих направлений. Срок действия или предел использования SA выражается в секундах или в килобайтах. В выходных данных 1676/unlim означает, что срок действия фазы 2 установлен в истечении 1676 секунд, и при этом не существует заданного размера срока действия.
ID-номер отображает уникальное значение индекса для каждого SA IPsec.
Дефис
-() в столбце Мон указывает, что мониторинг VPN для этого SA не включен.Виртуальная система (vsys) имеет нулевое значение по умолчанию.
Период действия второго этапа может отличается от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активен.
Отображение сведений о ассоциации безопасности IPsec
Цель
Отобразить индивидуальные данные IPsec SA, которые определены индексным номером.
Действий
В рабочем режиме введите show security ipsec security-associations index 2 detail команду.
user@host> show security ipsec security-associations index 2 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) DF-bit: clear Policy-name: tunnel-policy-out Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32
Смысл
Выходные данные отображают локальный идентификатор и удаленный идентификатор.
Обратите внимание, что не несоответствие ID прокси может привести к сбойу в фазе 2. ID прокси-сервера получен из политики туннеля (для VPN, основанных на политике). Локальный адрес и удаленный адрес выводится из записей адресной книги, а служба выводится из приложения, настроенного для политики.
Если фаза 2 не удалась из-за несоответствия ID прокси, проверьте, какие записи адресной книги настроены в политике, и убедитесь, что отправлены правильные адреса. Также убедитесь, что порты соответствуют. Дважды проверьте службу, чтобы убедиться, что порты соответствуют удаленным и локальным серверам.
Если в политике туннеля настроено несколько объектов для адреса источника, адреса назначения или приложения, итоговая конфигурация прокси-сервера для этого параметра меняется на нули.
Например, предположим следующий сценарий для политики туннеля:
Локальные адреса 192.168.10.0/24 и 10.10.20.0/24
Удаленный адрес 192.168.168.0/24
Приложение как junos-http
Итоговая идентификация прокси-сервера является локальной 0.0.0.0/0, удаленной 192.168.168.0/24, службой 80.
Итоговая конфигурация идентификационных данных прокси-сервера может повлиять на возможность использования, если удаленный одноранговой узла не настроен для второй подсети. Кроме того, при применении приложения сторонного поставщика для проверки совпадения может потребоваться ввести ручной ID прокси.
Если проверка IPsec не завершена, проверьте журнал с км или используйте set traceoptions команду. Дополнительные сведения Устранение неполадок IKE, PKI и IPsec см. в .
Проверка статистики безопасности IPsec SA
Цель
Проверьте статистику и ошибки для SA IPsec.
Для устранения неполадок проверьте счетчики инкапсулирования полезная нагрузка/аутентификации (ESP/AH) на любые ошибки с определенным SA IPsec.
Действий
В рабочем режиме введите show security ipsec statistics index 2 команду.
user@host> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 674784 Decrypted bytes: 309276 Encrypted packets: 7029 Decrypted packets: 7029 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Смысл
Нулевое значение ошибки в выходных данных указывает на нормальное состояние.
Рекомендуется использовать эту команду несколько раз для наблюдения за любыми потерями пакетов в VPN. Выходные данные этой команды также отображают статистику по счетчикам зашифрованных и дешифруются пакетов, счетчикам ошибок и так далее.
Необходимо включить параметры трассировки потока безопасности, чтобы выяснить, какие пакеты ESP имеют ошибки и почему. Дополнительные сведения Устранение неполадок IKE, PKI и IPsec см. в .
Проверка потока трафика через VPN
Цель
Протестировать поток трафика через VPN после фазы 1 и фазы 2 успешно выполнена. Можно проверить поток трафика с помощью ping этой команды. Можно провести ping-доступ от локального хоста к удаленному хосту. Можно также инициировать ping-с самого Juniper Networks самого устройства.
В этом примере показано, как инициировать запрос ping от Juniper Networks к удаленному хосту. Обратите внимание, что при инициации ping-проверки с Juniper Networks, необходимо укалять исходный интерфейс, чтобы убедиться, что происходит правильный просмотр маршрута и соответствующие зоны указаны в политиках.
В этом примере интерфейс ge-0/0/0.0 находится в той же зоне безопасности, что и локальный хост, и должен быть указан в запросе ping, чтобы просмотр политики был из зоны trust в зону untrust.
Действий
В рабочем режиме введите ping 192.168.168.10 interface ge-0/0/0 count 5 команду.
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Подтверждение возможности подключения
Цель
Подтвердите соединение между удаленным и локальным хостами.
Действий
В рабочем режиме введите ping 192.168.10.10 from ethernet0/6 команду.
ssg5-> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Смысл
Для подтверждения удаленного подключения к локальному хосту используется команда удаленного ping хоста. В данном примере команда инициалась с устройства SSG5.
Сбой подключения между конечными устройствами может означать проблему с маршрутицией, политикой, конечным хостом или шифрованием/расшифровке пакетов ESP. Чтобы проверить точную причину сбоя:
Для подробной информации об ошибках, как описано в. Проверка статистики безопасности IPsec SA
Подтвердите подключение к конечному хосту с помощью команды от хоста, который подключен к той же подсети,
pingчто и конечный хост. Если конечный хост достается другим хостам, то можно предположить, что проблема не в конечном хосте.Включить параметры трассировки потока безопасности для устранения проблем, связанных с маршрутиза политикой.
Устранение неполадок IKE, PKI и IPsec
Устранение IKE, PKI и IPsec.
- Основные этапы устранения неполадок
- Проверка свободного дискового пространства на своем устройстве
- Проверка файлов журналов для проверки различных сценариев и загрузки файлов журнала в FTP
- Включение IKE трассировки для просмотра сообщений IKE
- Включение параметров трассировки PKI для просмотра сообщений на IPsec
- Настройка параметров IKE трассировки PKI и IKE настройки сертификатов
- Анализ сообщения об успешном завершении фазы 1
- Анализ сообщения о сбое фазы 1 (несоответствие предложений)
- Анализ сообщения об ошибках фазы 1 (сбой аутентификации)
- Анализ сообщения о сбое фазы 1 (ошибка времени простоя)
- Анализ сообщения об ошибках фазы 2
- Анализ сообщения об ошибках фазы 2
- Устранение общих неполадок, связанных IKE и PKI
Основные этапы устранения неполадок
Проблема
Основные этапы устранения неполадок следующие:
выявление и изоляция проблемы.
Отладка проблемы.
При поиске и устранении неисправностей на нижнем уровне уровне мы работаем над стеком OSI, чтобы подтвердить уровень, на котором происходит сбой.
Решение
Основные действия по IKE, PKI и IPsec:
Подтвердите физическое подключение к Интернету на физическом уровне и на уровне передачи данных.
Подтвердите, Juniper Networks устройство подключено к Интернету на следующем переходе и подключено к удаленному IKE узла.
Подтвердит IKE фазе 1.
Если IKE IKE фаза 1 успешна, подтвердит завершение фазы 2.
Подтвердит поток трафика через VPN (если VPN работает и активен).
Junos OS содержит функцию параметров трассировки. С помощью этой функции можно включить флаг параметра трассировки для записи данных из параметра трассировки в файл журнала, который можно предварительно или вручную настроить и сохранить во флэш-памяти. Эти журналы трассировки могут сохраняться даже после перезагрузки системы. Перед реализацией параметров трассировки проверьте доступное флэш-хранилище.
В режиме конфигурации можно включить функцию трассировки параметров и зафиксировать конфигурацию для использования функции trace options. Точно так же, как и отключение параметров трассировки, необходимо деактивировать параметры трассировки в режиме конфигурации и сфиксировать конфигурацию.
Проверка свободного дискового пространства на своем устройстве
Проблема
Проверьте статистику по свободному диску в файловой системе устройства.
Решение
В рабочем режиме введите show system storage команду.
user@host> show system storage Filesystem Size Used Avail Capacity Mounted on /dev/ad0s1a 213M 74M 137M 35% / devfs 1.0K 1.0K 0B 100% /dev devfs 1.0K 1.0K 0B 100% /dev/ /dev/md0 180M 180M 0B 100% /junos /cf 213M 74M 137M 35% /junos/cf devfs 1.0K 1.0K 0B 100% /junos/dev/ procfs 4.0K 4.0K 0B 100% /proc /dev/bo0s1e 24M 13K 24M 0% /config /dev/md1 168M 7.6M 147M 5% /mfs /cf/var/jail 213M 74M 137M 35% /jail/var
Данный /dev/ad0s1a объем флэш-памяти составляет 35 %.
Проверка файлов журналов для проверки различных сценариев и загрузки файлов журнала в FTP
Проблема
Просмотреть файлы журнала, чтобы проверить IKE сообщения отладки, отладки потока безопасности и состояние регистрации в syslog.
Решение
В рабочем режиме введите show log kmdshow log pkid команды , show log security-traceshow log messages и.
user@host> show log kmd user@host> show log pkid user@host> show log security-trace user@host> show log messages
С помощью команды можно просмотреть список всех журналов в каталоге show log /var/log.
С помощью этой команды можно также загрузить файлы журнала на file copy FTP-сервер.
(operational mode): user@host> file copy path/filename dest-path/filename Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps
Включение IKE трассировки для просмотра сообщений IKE
Проблема
Чтобы просмотреть сообщения об успешном или неудачном сбое для IKE IPsec, можно просмотреть многоадамидный журнал с помощью show log kmd команды. Поскольку в журнале "kmd" отображаются некоторые общие сообщения, можно получить дополнительные сведения, включив параметры трассировки IKE PKI.
Обычно лучше всего устранять неполадки на одноранговом узлах, роли ответчика. Чтобы понять причину сбоя, необходимо получить выходные данные трассировки от инициатора и ответчика.
Настройте IKE параметров отслеживания.
Решение
user@host> configure Entering configuration mode [edit] user@host# edit security ike traceoptions [edit security ike traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security ike traceoptions]
user@host# set flag ? Possible completions: all Trace everything certificates Trace certificate events database Trace security associations database events general Trace general events ike Trace IKE module processing parse Trace configuration processing policy-manager Trace policy manager processing routing-socket Trace routing socket messages timer Trace internal timer events
Если не указать имена файлов для <fi демилиметра >, то все параметры IKE трассировки будут записаны в журнале "kmd".
Для записи данных трассировки в журнал необходимо указать как минимум один параметр flag. Например:
file size— Максимальный размер каждого файла трассировки в bytes. Например, 1 млн .000 000 может создать максимальный размер файла, который составляет 1 Мбайт.files— Максимальное число файлов трассировки, которые должны быть сгенерированы и сохранены на устройстве флэш-памяти.
Для начала трассировки необходимо сфиксировать конфигурацию.
Включение параметров трассировки PKI для просмотра сообщений на IPsec
Проблема
В этом случае необходимо включить параметры трассировки PKI, чтобы определить, был ли сбой IKE связан с сертификатом или с проблемой, не связанной с PKI.
Решение
[edit security pki traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security pki traceoptions]
user@host# set flag ? Possible completions: all Trace with all flags enabled certificate-verification PKI certificate verification tracing online-crl-check PKI online crl tracing
Настройка параметров IKE трассировки PKI и IKE настройки сертификатов
Проблема
Настройте рекомендуемые настройки для параметров IKE трассировки PKI.
Параметры IKE и PKI используют одинаковые параметры, но имя файла по умолчанию для всех трассировок, связанных с PKI, можно найти в pkid-журнале.
Решение
user@host> configure Entering configuration mode [edit security ike traceoptions] user@host# set file size 1m user@host# set flag ike user@host# set flag policy-manager user@host# set flag routing-socket user@host# set flag certificates [edit security pki traceoptions] user@host# set file size 1m user@host# set flag all user@host# commit and-quit commit complete Exiting configuration mode
Анализ сообщения об успешном завершении фазы 1
Проблема
При успешном выходе команды show log kmd IKE фазы 1 и 2.
Решение
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Phase-2 [responder] done for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,[0..15]=ssg5.example.net) p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Пример выходных данных показывает:
10.1.1.2— Локальный адрес.ssg5.example.net— Удаленный одноранговой (имя хоста с FQDN).udp: 500— NAT согласование T не было.Phase 1 [responder] done- Состояние фазы 1, а также роль (инициатор или ответчик).Phase 2 [responder] done- Состояние фазы 1, а также сведения об ID прокси.Можно также подтвердить статус SA IPsec с помощью команд проверки, упомянутых в Подтверждение IKE фазы 1 .
Анализ сообщения о сбое фазы 1 (несоответствие предложений)
Проблема
Понимание выходных данных команды, где условие IKE фазы 1 является сбоем, помогает определить причину, по которой VPN не установит show log kmd фазу 1.
Решение
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d - 2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)Пример выходных данных показывает:
10.1.1.2— Локальный адрес.ssg5.example.net— Удаленный одноранговой (имя хоста с FQDN).udp: 500— NAT согласование T не было.Phase-1 [responder] failed with error (No proposal chosen)- Сбой фазы 1 из-за несоответствия предложений.
Чтобы устранить эту проблему, убедитесь, что параметры для IKE шлюза, первого этапа, совпадают как с ответчиком, так и с инициатором. Также подтвердим, что для VPN существует политика туннеля.
Анализ сообщения об ошибках фазы 1 (сбой аутентификации)
Проблема
Понимание выходных данных show log kmd команды, когда условие IKE фазе 1 является сбоем. Это помогает определить причину, по которой VPN не установит фазу 1.
Решение
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not recognized.
Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for
local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2)
Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 - dab1ba4c ae26674b [-
1] / 0x00000000 } IP; Error = Authentication failed (24)
Пример выходных данных показывает:
10.1.1.2— Локальный адрес.10.2.2.2Удаленный одноранговой узлаPhase 1 [responder] failed with error (Authentication failed)- Сбой фазы 1 из-за того, что ответчик не опознает входящий запрос от действительного одноранговых шлюзов. В случае отказа IKE сертификатами PKI этот сбой обычно свидетельствует о том, что указан или введен неправильный IKE тип ID.
Чтобы решить эту проблему, подтвердим, что правильный IKE узла указан на локальном одноранговом узлах на основе следующего:
Как был создан сертификат удаленного узла
При условии получения альтернативного имени или DN-данных в полученном сертификате удаленного равноправного узла
Анализ сообщения о сбое фазы 1 (ошибка времени простоя)
Проблема
Понимание выходных данных show log kmd команды, когда условие IKE фазе 1 является сбоем.
Решение
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for local=unknown(any:0,[0..0]=) remote=ipv4(any:0,[0..3]=10.2.2.2)
Пример выходных данных показывает:
10.1.1.2— Адрес Llocal.10.2.2.2— удаленный одноранговой узла.Phase 1 [responder] failed with error(Timeout)- Сбой фазы 1.Эта ошибка означает, что IKE потерян по маршруту на удаленный одноранговой одноранговой узла, либо есть задержка или нет ответа от удаленного одноранговых узла.
Поскольку эта ошибка времени ожидания является результатом ожидания ответа от daemon PKI, необходимо просмотреть выходные данные параметров трассировки PKI, чтобы определить, есть ли проблема с PKI.
Анализ сообщения об ошибках фазы 2
Проблема
Если условие "IKE show log kmd 2" является сбоем, нужно понимать выходные данные команды.
Решение
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 Failed to match the peer proxy ids
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote peer:ipv4(udp:500,[0..3]=10.2.2.2)
Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2 [responder] failed for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24)
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe - 43fd0e85 b4f619d5 [0]
/ 0xc77fafcf } QM; Error = No proposal chosen (14)
Пример выходных данных показывает:
10.1.1.2— Локальный адрес.ssg5.example.net- Удаленный одноранговой IKE (iD-тип имени узла с FQDN).Phase 1 [responder] done— Успешное время фазы 1.Failed to match the peer proxy ids— Получены неправильные ID прокси. В предыдущем примере два полученных прокси-ID – 192.168.168.0/24 (удаленный) и 10.10.20.0/24 (для обслуживания=any). Исходя из конфигурации, предоставленной в данном примере, ожидаемый локальный адрес 192.168.10.0/24. Это показывает, что на локальном одноранговом одноранговом устройстве не совпадают конфигурации, что приводит к сбою в совпадении прокси-ID.Чтобы устранить эту проблему, исправте запись адресной книги или настройте ID прокси на любом одноранговом узлах таким образом, чтобы он совпадал с другим одноранговый.
Выходные данные также указывают на то, что причиной сбоя является
No proposal chosen. Однако в этом случае также вы видите сообщениеFailed to match the peer proxy ids.
Анализ сообщения об ошибках фазы 2
Проблема
Если условие "IKE show log kmd 2" является сбоем, нужно понимать выходные данные команды.
Решение
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 - 6b0d3933 f0bc8e26 [0]
/ 0x1747248b } QM; Error = No proposal chosen (14)
Пример выходных данных показывает:
10.1.1.2— Локальный адрес.fqdn(udp:500,[0..15]=ssg5.example.net— удаленный одноранговой узла.Phase 1 [responder] done— Успешное время фазы 1.Error = No proposal chosen— В фазе 2 предложение не было выбрано. Эта проблема вызвана не несоответствием предложений между двумя однорангами.Чтобы решить эту проблему, подтвердим, что предложения фазы 2 совпадают на обоих одноранговых узлах.
Устранение общих неполадок, связанных IKE и PKI
Проблема
Устранение распространенных неполадок, связанных IKE PKI.
Включение функции трассировки поможет собрать больше сведений о проблемах отладки, чем можно получить из обычных записей журнала. Можно использовать журнал параметров трассировки для понимания причин сбоев IKE PKI.
Решение
Методы устранения неполадок, IKE-и-PKI-проблем:
Убедитесь, что настройки часов, даты, часовой пояса и перехода на летнее время верны. Используйте NTP, чтобы сохранить тактовую тактовую такт
Убедитесь, что в поле "C=" (страна) DN используется двух-буквный код страны.
Например: использовать "US", а не "США" или "США". Для некоторых ЦС требуется заполнение поля страны DN, позволяя ввести значение кода страны только со значением в две буквы.
Убедитесь, что в случае использования сертификата равноправного узла с несколькими полями OU=или CN= используется отличительное имя с помощью контейнера (последовательность должна сохраняться и чувствительна к случаям).
Если сертификат еще не действителен, проверьте системные часы и, если необходимо, настройт системный часовой пояс или просто добавьте день в часы для быстрой проверки.
Убедитесь, что настроены IKE тип и значение, совпадающие по типу и значению.
Ошибка PKI может быть вызвана ошибкой проверки отзыва. Для подтверждения этого временно отключите проверку отзыва и посмотрите, IKE ли завершение первого этапа.
Чтобы отключить проверку отзыва, в режиме настройки используйте следующую команду:
set security pki ca-profile <ca-profile> revocation-check disable