Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv1 группы

Group VPN – это набор функций, необходимых для многоадресная передача по протоколу IP группового или однонастрого трафика через частную сеть WAN, которая создается на устройстве или проходит через нее.

Обзор группы VPNv1

Ассоциация безопасности IPsec (SA) является однонаправленным соглашением между участниками виртуальной частной сети (VPN), которое определяет правила использования для алгоритмов аутентификации и шифрования, механизмов обмена ключами и безопасной связи. В текущих реализациях VPN, SA является точеным туннелем между двумя устройствами безопасности. Group VPNv1 расширяет архитектуру IPsec для поддержки безопасности, совместно поддерживаемых группой устройств обеспечения безопасности Рис. 1 (см.).

Рис. 1: Стандартная VPN-сеть IPsec и group VPNv1Стандартная VPN-сеть IPsec и group VPNv1

VPNv1 группы поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240 и SRX650 устройства. Благодаря группе VPNv1 полная взаимоподключаемость достигается сохранением исходных IP-адресов источника и назначения во внешнем загоне. Защищенные многоадретные пакеты реплицированы так же, как и многоадретные пакеты cleartext в основной сети.

Начиная с Junos OS версии 12.3X48-D30, члены группы VPNv1 могут работать с серверами Group VPNv2.

Группа VPNv1 имеет некоторые ограничения относительно RFC 6407, Group Domain of Interpretation (GDOI). Чтобы использовать Group VPN без собственных ограничений, необходимо перейти к Group VPNv2. Группа VPNv2 поддерживается в vSRX, начиная с Junos OS release 15.1X49-D30, серия SRX устройств, начиная с Junos OS release 15.1X49-D40, и серия MX, начиная с Junos OS выпуска 15.1r2.

Понимание протокола GDOI для группы VPNv1

Группа VPNv1 основана на RFC 3547, домен группы интерпретации (GDOI). В RFC описывается протокол между участниками группы и групповым сервером для создания SAS среди членов группы. Сообщения GDOI создают, поддерживают или удаляют SAS для группы устройств. Протокол GDOI работает на порту 848.

Протокол управления ассоциациями и ключами в Интернете (ISAKMP) определяет две фазы согласования для создания ассоциации безопасности для туннеля IPsec с автоматической IKE key. Фаза 1 позволяет двум устройствам установить ISAKMP SA. На втором этапе устанавливаются протоколы безопасности для других протоколов безопасности, таких как GDOI.

При выполнении группы VPN, фаза 1 ISAKMP SA выполняется между групповым сервером и членом группы. Сервер и участник должны использовать ту же политику ISAKMP. На 2-м этапе GDOI обменивается данными между сервером и участником, устанавливая ассоциации безопасности, совместное с другими участниками группы. Участник группы не должен согласовывать IPsec с другими участниками группы. Обмены GDOI на 2-м этапе должны быть защищены с помощью СА ISAKMP на 1-м этапе.

Существует два типа обмена GDOI:

  • Обмен позволяет участнику запрашивать УА и ключи, общие groupkey-pull для группы, с сервера.

  • Обмен – это одно повторное сообщение, которое позволяет серверу отправлять группы SAS и ключи членам до истечения срока действия groupkey-push существующих. Повторное сообщение – это незатвершенные сообщения, отосланные от сервера участникам.

Ограничения группы VPNv1

Ниже для группы VPNv1 не поддерживается следующее:

  • Экземпляры маршрутов по умолчанию

  • кластер шасси

  • Серверные кластеры

  • VPN на основе маршрутной группы

  • Развертывание сети Интернет в общедоступных сети Интернет

  • Snmp

  • Политика отказа от сервера Cisco GET VPN

  • Интерфейс J-Web для настройки и мониторинга

Начиная с Junos OS release 12.3X48-D30, члены группы VPNv1 на SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 и SRX650 устройства могут работать с серверами Group VPNv2. При настройке участников группы VPNv1 для использования с серверами Group VPNv2 необходимо отметить следующие ограничения:

  • Группа VPNv2 поддерживает проект IETF спецификации Протокола обнаружения задержки доставки IP для механизма воспроизведения на основе времени. Поэтому антиответ протокола обнаружения задержки доставки IP не поддерживается участниками группы VPNv1 и должен быть отключен на сервере Group VPNv2 с помощью deactivate security group-vpn server group group-name anti-replay-time-window команды.

  • Сервер Group VPNv2 не поддерживает colocation, где функции группового сервера и члена группы существуют на одном и том же устройстве.

  • Сервер Group VPNv2 не поддерживает передачу пульса. Пульсаровка должна быть отключена на участнике группы VPNv1 с помощью deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold команды. Рекомендуется использовать кластеры серверов Group VPNv2, чтобы избежать воздействия на трафик из-за перезагрузок или других прерываний на сервере Group VPNv2.

  • Сообщения Groupkey-push, посланные с сервера Group VPNv2, основаны на RFC 6407, домене группы интерпретации (GDOI) и не поддерживаются участниками Группы VPNv1. Поэтому сообщения groupkey-push должны быть отключены на сервере Group VPNv2 с помощью deactivate security group-vpn server group group-name server-member-communication команды.

    Rekeys поддерживаются с сообщениями groupkey-pull. При проблемах с масштабированием, когда члены группы VPNv1 не могут выполнить операцию groupkey-pull до истечения жесткого срока действия TEK, рекомендуется увеличить срок действия TEK, чтобы обеспечить достаточное время для выполнения участниками операции groupkey-pull. Juniper номера масштабирования могут быть квалифицированы в течение срока действия TEK, который составляет 2 часа.

  • Если сервер Group VPNv2 перезагружается или обновляется, или SAS для группы очищаются, новые члены не могут быть добавлены в сеть до тех пор, пока существующие члены не смогут использовать новое решение. Новые члены не могут отправлять трафик существующим членам, имеющим старые ключи. В качестве обходного решения можно очистить СА на существующих членах группы VPNv1 с помощью clear security group-vpn member ipsec security-associations команды.

  • Поскольку многоастральный трафик данных не поддерживается участниками группы VPNv2, многоастральный трафик данных нельзя использовать, когда члены группы VPNv1 и группы VPNv2 сосуществовать в сети для одной и той же группы.

Понимание серверов и членов группы VPNv1

В центре группы VPN находится групповой сервер. Сервер группы выполняет следующие задачи:

  • Управление членством в группе

  • Генерирует ключи шифрования

  • Управляет групповыми SAS и ключами и распределяет их участникам

Члены группы шифруют трафик на основе сообщений безопасности группы и ключей, предоставленных групповым сервером.

Групповый сервер может обслужить несколько групп. Один устройство обеспечения безопасности может быть членом нескольких групп.

Каждая группа представлена идентификатором группы (число от 1 до 65 535). Сервер группы и члены группы связаны друг с другом идентификатором группы. На группу может быть только один идентификатор группы, и несколько групп не могут использовать один идентификатор группы.

Ниже приводится высокое представление о групповом VPN-сервере и действиях членов:

  1. Сервер группы прослушивает UDP-порт 848 для регистрации членов. Чтобы присоединиться к группе, устройство-участник IKE аутентификацию фазы 1. Аутентификация с предварительным ключом для каждого участника поддерживается.

  2. После успешной аутентификации и регистрации устройство-участник извлекает ассоциации безопасности и ключи с сервера с помощью обмена groupkey-pull GDOI.

  3. Сервер добавляет члена в группу.

  4. Члены группы обмениваются пакетами, зашифрованными с помощью ключей SA группы.

Сервер периодически отправляет SA и обновления ключей участникам группы с сообщениями rekey (GDOI). groupkey-push Сообщения rekey посылаются до истечения срока действия SAS; это гарантирует, что доступны допустимые ключи для шифрования трафика между участниками группы.

Сервер также посылает новые ключи членам, чтобы предоставить новые ключи при изменении принадлежности к группе или в случае изменения SA группы.

Понимание связи между членами группы VPNv1 и сервером

VPNv1 группы поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240 и SRX650 устройства. Взаимодействие с членами сервера позволяет серверу отправлять сообщения GDOI groupkey-push участникам. Если для группы не настроена связь с сервером, члены организации могут отправлять сообщения GDOI для регистрации и повторной регистрации на сервере, но сервер не может отправить членам группы повторное groupkey-pull сообщение.

Связь между сервером и сервером настраивается для группы с помощью server-member-communication операторов конфигурации в иерархии edit security group-vpn server [] Можно определить следующие параметры:

  • Алгоритм шифрования, используемый для связи между сервером и участником. Можно указать 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc или des-cbc. Нет алгоритма по умолчанию.

  • Алгоритм аутентификации (md5 или sha1), используемый для аутентификации участника к серверу. Нет алгоритма по умолчанию.

  • Отправляет ли сервер однонаправные или многоаренные сообщения повторной передачи членам группы и параметры, относящиеся к типу связи.

  • Интервал, с которого сервер отправляет членам группы сообщения пульса. Это позволяет участнику определить, перезагружается ли сервер, что требует перерегистрации этого члена с сервером. Значение по умолчанию — 300 секунд.

  • Срок действия ключа шифрования (KEK). Значение по умолчанию — 3600 секунд.

Настройка связи между сервером и сервером необходима для передачи сервером-участникам сообщений перенастройки членам группы, но могут возникнуть ситуации, в которых такое поведение не является необходимым. Например, если члены группы являются динамическими однорангами (например, в домашнем офисе), устройства не всегда активются и IP-адрес устройства при каждом подавлевом устройстве может быть различным. Настройка связи между сервером и сервером для группы динамических одноранговых узла может привести к ненужным передачам сервером. Если необходимо всегда IKE согласование SA фазы 1 для защиты согласования GDOI, не настраивать взаимодействие с сервером.

Если связь между сервером и группой не настроена, список участников, отображаемый командой, показывает участников группы, зарегистрированных на сервере; члены могут быть активными или show security group-vpn server registered-members нет. После настройки связи между серверами и членами группы список участников очищается. Если тип связи настроен как однонастройный, show security group-vpn server registered-members в команде будут показаны только активные члены. Если тип связи настроен как многоастральный, команда отображает участников, зарегистрированных на сервере после конфигурации; список участников не обязательно представляет активных членов, поскольку члены могут отбросить их после show security group-vpn server registered-members регистрации.

Основные действия групп VPNv1 Group Key

В этом разделе содержатся следующие разделы:

Групповые ключи

На групповом сервере ведется база данных для отслеживания взаимосвязи между группами VPN, членами группы и групповыми ключами. Существует два вида групповых ключей, которые сервер загружает в члены:

  • Ключ шифрования (KEK) — используется для шифрования сообщений повторного ключа. Один KEK поддерживается для группы.

  • Ключ шифрования трафика (TEK) — используется для шифрования и расшифровки трафика данных IPsec между участниками группы.

Ключ, связанный с SA, принимается членом группы только в том случае, если на участнике настроена политика совпадающих областей. Для группы VPN устанавливается принятый ключ, в то время как отклоненный ключ отбрасывается.

Сообщения повторного нажатия

Если группа настроена для связи с членами сервера, сервер периодически отправляет SA и обновления ключей участникам группы с сообщениями rekey (GDOI). groupkey-push Сообщения rekey посылаются до истечения срока действия SAS; это гарантирует, что доступны допустимые ключи для шифрования трафика между участниками группы.

Сервер также посылает новые ключи членам, если членство в группе изменено или SA группы изменено (например, групповая политика добавлена или удалена).

Параметры связи сервер-участник должны быть настроены на сервере, чтобы разрешить серверу отправлять новые сообщения членам группы. Эти параметры определяют тип сообщения и интервалы, в которые они посылаются, как объясняется в следующих разделах:

Существует два типа сообщений о повторном подкайке:

  • Unicast rekey messages — групповой сервер посылает каждому участнику группы по одной копии сообщения о повторном поджатии. При получении сообщения о повторном подмене члены группы должны отправить подтверждение (ACK) на сервер. Если сервер не получает ACK от члена (включая повторное передачу повторного сообщения), он считает его неактивным и удаляет его из списка участников. Сервер прекращает отправку ему сообщений о повторном поджатом.

    Операторы конфигурации для number-of-retransmission серверно-членского взаимодействия контролируют повторное повторное сообщение сервера, когда нет ACK от retransmission-period участника.

  • Multicast rekey messages — групповой сервер отправляет одну копию сообщения rekey с указанного исходястоя интерфейса на настроенный адрес группы многоантерфейсной отправки. Члены не отправляют подтверждение получения многоастерстных сообщений повторной отправки. Зарегистрированный список участия не обязательно представляет активных членов, поскольку члены могут отбросить их после первоначальной регистрации. Все члены группы должны быть настроены для поддержки многоабных сообщений.

    многоадресная передача по протоколу IP должны быть настроены для доставки многоабетного трафика в сеть. Для получения более подробной информации о настройке многоавартных протоколов на Juniper Networks см. Руководство пользователя по многоканальных протоколам.

Интервал, с которого сервер отправляет сообщения повторного настройки, вычисляется на основе значений в иерархии [] и сообщений lifetime-secondsactivation-time-delayedit security group-vpn server group конфигурации. Интервал вычисляется как lifetime-seconds minus 4*(activation-time-delay) .

KeK настраивается как часть взаимодействия между серверами и членами сети; значение по умолчанию lifetime-seconds — 3600 секунд. Для lifetime-seconds TEK настроено предложение IPsec; значение по умолчанию — 3600 секунд. Настройка для группы на сервере; значение по умолчанию activation-time-delay — 15 секунд. Использование значений по умолчанию для и, интервал, с которого сервер посылает сообщения lifetime-secondsactivation-time-delay rekey, 3600 minus 4*15 составляет , или 3540 секунд.

Регистрация участников

Если член группы не получит новый ключ SA от сервера до истечения срока действия текущего ключа, он должен перерегистрться с сервером и получить обновленные ключи при обмене groupkey-pull GDOI. В этом случае интервал, с которого сервер отправляет сообщения rekey, вычисляется следующим образом: lifetime-seconds минус 3*( activation-time-delay ). Использование значений по умолчанию для и, интервал, с которого сервер посылает сообщения lifetime-secondsactivation-time-delay rekey, составляет 3600 минус 3*15, или 3555 секунд.

Перерегистрация членов может произойти по следующим причинам:

  • Участник обнаруживает перезагрузку сервера при отсутствии пульсов, полученных с сервера.

  • Сообщение rekey с группового сервера потеряно или задержано, и срок действия TEK истек.

Активация ключей

Когда участник получает новый ключ от сервера, он ждет определенное время, прежде чем использовать его для шифрования. Этот период времени определяется activation-time-delay посредством утверждения конфигурации и того, получен ли ключ через повторное сообщение, отправленное с сервера, или в результате перерегистрации члена с сервером.

Если ключ получен через сообщение повторного ключа, отправленное с сервера, участник ждет 2*( секунд, прежде чем activation-time-delay использовать ключ. Если ключ получен через перерегистрацию участников, он ждет количество секунд, указанное в activation-time-delay значении.

Участник сохраняет два последних ключа, отправленных с сервера для каждой группы SA, установленной на участнике. Оба ключа можно использовать для расшифровки, а самый последний ключ - для шифрования. Предыдущий ключ удаляется из количества секунд, заданных значением activation-time-delay после активации нового ключа.

Значение по умолчанию для activation-time-delay утверждения конфигурации составляет 15 секунд. Установка слишком малого периода времени может привести к отброшению пакета удаленным членом группы до установки нового ключа. При изменении значения учитывайте топологию сети и задержки системного activation-time-delay транспорта. Для одноастных передач задержка передачи системы пропорциональна числу членов группы.

Сервер группы VPNv1 может послать несколько ключей шифрования трафика (TEKs) участнику группы VPNv1 в ответ на groupkey-pull запрос. Ниже описывается, как участник группы VPNv1 обрабатывает существующие TEK и TEKs, получаемые от сервера:

  • Если участник группы VPNv1 получает два или более TEKs, он удерживает последние два TEK и удаляет существующий TEK. Из двух удерживаемых TEKs более старый TEK активируется немедленно, а более новый TEK активируется после того, как по истерике сервера VPNv1 группы установлено значение (значение по умолчанию activation-time-delay — 15 секунд).

  • Если участник группы VPNv1 получает только один TEK или получает TEK через сообщение от сервера, существующий TEK не удаляется до истечения жесткого срока groupkey-push действия. Срок действия существующего TEK не сокращается.

Участник группы VPNv1 все еще устанавливает полученный TEK, даже если срок действия TEK меньше, чем в два activation-time-delay раза больше значения.

Понимание сообщений пульса группы VPNv1

После настройки соединения между сервером и сервером серверный сервер отправляет членам группы сообщения пульса с заданными интервалами (интервал по умолчанию – 300 секунд). Механизм пульсации позволяет участникам перерегистрации на сервере, если не получено указанное количество пульсов. Например, во время перезагрузки сервера члены не будут получать сообщения пульса. После перезагрузки сервера члены группы повторно зарегистрируются вместе с сервером.

Пульсы передаются через groupkey-push сообщения. В каждом сообщении пульса, защищающем участников от ответных атак, последовательность будет пошаговая. В отличие от сообщений повторного подтверждения, сообщения подтверждения соединения не признаются получателями и не ретранслются сервером.

Сообщения пульса содержат следующие сведения:

  • Текущее состояние и конфигурация ключей на сервере

  • Относительное время, если включено антиреплейс

Сравнив информацию в пульсах, участник может определить, пропустил ли он информацию о сервере или повторное сообщение. Участник перерегистрируется для синхронизации с сервером.

Сообщения пульсации могут увеличить перегрузку сети и вызвать ненужные перерегистрации членов. Таким образом, обнаружение пульса может быть отключено на участнике при необходимости.

Понимание режима colocation group VPNv1 Server-Member

Функции группы серверов и членов группы являются отдельными и не пересекаются. Функции сервера и члена могут сосуществовать в одном физическом устройстве, которое называется режимом колокации. В режиме колокации функциональность и поведение сервера или участника не изменяются, однако серверу и участнику необходимо на назначены различные IP-адреса, чтобы пакеты были доставлены должным образом. В режиме колокации серверу может быть назначен только один IP-адрес, а участнику из разных групп назначен один IP-адрес.

Обзор конфигурации группы VPNv1

В данной теме описаны основные задачи настройки группы VPNv1.

Настройте на групповом сервере следующее:

  1. IKE фазы 1. Используйте иерархию edit security group-vpn server ike [] для настройки IKE sa фазы 1. См. IKE фазы 1 для Group VPNv2.
  2. Этап 2. SA IPsec. См. "Настройка SA IPsec для группы VPNv1".
  3. Группа VPN. См. Обзор конфигурации группы VPNv1.

Для члена группы настройте следующее:

  1. IKE фазы 1. Используйте иерархию edit security group-vpn member ike [] для настройки IKE фазы 1 SA. См. IKE фазы 1 для group VPNv1.

  2. Этап 2. SA IPsec. См. "Настройка SA IPsec для группы VPNv1".

  3. Политика области, определяя, какие групповые политики установлены на участника. См. "Динамические политики для группы VPNv1".

Чтобы предотвратить проблемы фрагментации пакетов, рекомендуется, чтобы интерфейс, используемый участником группы для подключения к сети MPLS, был настроен на размер максимальный размер пакета (MTU) не более 1400 bytes. Используйте утверждение set interface mtu конфигурации для того, чтобы MTU размер.

Группа VPN настраивается на сервере с помощью утверждения group конфигурации в иерархии edit security group-vpn server []

Сведения о группе состоят из следующих сведений:

  • Идентификатор группы — значение от 1 до 65 535, которое идентифицирует группу VPN. Тот же идентификатор группы должен быть настроен на участнике группы для команды Autokey IKE.

  • Членам группы, как по конфигурации ike-gateway конфигурирована. Может быть несколько экземпляров этого утверждения конфигурации, по одному для каждого члена группы.

  • IP-адрес сервера (рекомендуется адрес интерфейса обратной связи).

  • Групповые политики — политики, которые будут загружаться участникам. Групповые политики описывают трафик, к которому применяются SA и ключи. См. "Динамические политики для группы VPNv1".

  • Server-member communication – дополнительная конфигурация, которая позволяет серверу отправлять членам группы rekey-сообщения. См. Обзор Группы VPNv1.

  • Antireplay — дополнительная конфигурация, которая обнаруживает перехват и повторение пакетов. См. "Антиреплей для группы VPNv1".

Понимание IKE фазы 1 для группы VPNv1

В IKE этапе 1 SA между групповым сервером и членом группы создается безопасный канал для согласований sa IPsec, совместно совместно встречаемой группы. Для стандартных VPN IPsec на Juniper Networks безопасности конфигурация SA фазы 1 состоит из указания предложения IKE, политики и шлюза. Для группы VPNv1 конфигурация sa IKE фазы 1 аналогична конфигурации для стандартных VPN IPsec, но выполняется в иерархии edit security group-vpn []

В конфигурации IKE предложения заданная настройка метода аутентификации и алгоритмов шифрования, которые будут использоваться для открытия защищенного канала между участниками. В конфигурации IKE политики задается режим (основной или агрессивный), в котором будет согласовываться канал фазы 1, указывается тип используемого обмена ключами и ссылается на предложение фазы 1. В конфигурации IKE шлюза необходимо ссылаться на политику фазы 1.

Поскольку группа VPNv2 поддерживает только сильные алгоритмы, алгоритм аутентификации поддерживается для участников группы sha-256 VPNv1 SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 и SRX650 устройства. Когда члены группы VPNv1 совпают с серверами Group VPNv2, этот параметр должен быть настроен на членах группы VPNv1 с помощью edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 команды. На сервере Group VPNv2 необходимо сконфигурировать предложения IKE и настроить для authentication-algorithm sha-256authentication-algorithm hmac-sha-256-128 предложений IPsec.

Если на IKE шлюза группы VPNv1 настроено несколько адресов шлюза, при окне "Только один удаленный адрес можно настроить для конфигурации IKE шлюза", когда конфигурация будет сконфигурирована.

Конфигурация IKE 1-го этапа на сервере группы должна соответствовать конфигурации фазы 1 для IKE группы.

О конфигурации IPsec SA для Group VPNv1

После того, как сервер и участник установили защищенный и аутентификациный канал в фазе 1 согласования, они проходят фазу 2. Согласование фазы 2 устанавливает SAs IPsec, которые совместно передаются участниками группы для защиты данных, передаваемых между участниками. Хотя конфигурация SA IPsec для группы VPN аналогична конфигурации для стандартных VPN, участник группы не должен согласовывать SA с другими участниками группы.

Конфигурация IPsec фазы 2 для группы VPNv1 состоит из следующей информации:

  • Предложение для протокола безопасности, аутентификации и алгоритма шифрования, который будет использоваться для SA. Предложение SA IPsec настраивается на сервере группы с помощью утверждения proposal конфигурации в иерархии edit security group-vpn server ipsec []

  • Групповая политика, которая ссылается на предложение. Групповая политика определяет трафик (протокол, адрес источника, порт источника, адрес назначения и порт назначения), к которому применяются SA и ключи. Групповая политика настраивается на сервере с помощью утверждения ipsec-sa конфигурации в иерархии edit security group-vpn server group []

  • Автокейт IKE, который ссылается на идентификатор группы, на групповой сервер (сконфигурирован с утверждением конфигурации) и интерфейс, используемый членом для подключения к ike-gateway группе. Автокейт IKE на члене с помощью утверждения ipsec vpn конфигурации в иерархии edit security group-vpn member []

Понимание динамической политики для группы VPNv1

Сервер группы распределяет группы SAS и ключи для членов указанной группы. Все члены одной группы могут использовать один и тот же набор для IPsec SAs. Но не все ассоциации, настроенные для группы, устанавливаются на каждого члена группы. SA, установленное на определенном члене, определяется политикой, связанной с SA группы, и политиками безопасности, настроенными на участнике.

В группе VPN каждая группа SA и ключ, который сервер передает члену, связаны с групповой политикой. Групповая политика описывает трафик, для которого должен использоваться ключ, включая протокол, адрес источника, порт источника, адрес назначения и порт назначения.

Одинаковые групповые политики (настроенные с одинаковым адресом источника, адресом назначения, портом источника, портом назначения и значениями протокола) не могут существовать для одной группы. При попытке сфиксировать конфигурацию, которая содержит идентичные групповые политики для группы, возвращается ошибка. В этом случае необходимо удалить одну из одинаковых групповых политик.

Для члена группы необходимо настроить политику области, которая определяет область групповой политики, загруженной с сервера. Групповая политика, распределенная с сервера, сравнивается с политиками области, настроенными на участнике. Для установки групповой политики на участнике должны быть удовлетворены следующие условия:

  • Все адреса, указанные в групповой политике, должны в пределах диапазона адресов, заданных в политике областей.

  • Порт источника, порт назначения и протокол, указанные в групповой политике, должны соответствовать данным, заданным в политике областей.

Групповая политика, установленная на участнике, называется динамической политикой.

Политика областей может явться частью упорядоченного списка политик безопасности для конкретного контекста из зоны в зону и в зону. Junos OS выполняет просмотр политики безопасности на входящих пакетах, начиная с верхней части упорядоченного списка.

В зависимости от положения политики области в упорядоченный список политик безопасности существует несколько возможностей для динамического позиционирования политик:

  • Если входящий пакет соответствует политике безопасности до того, как будет рассмотрена политика области, динамический анализ политики не происходит.

  • Если входящий политик соответствует политике области, процесс поиска продолжается для динамической политики поиска. При найме совпадающих динамических политик выполняется действие этой политики (permit). Если динамическая политика не совпадает, процесс поиска продолжает искать политики, которые ниже политики области.

    В этом выпуске для политики tunnel области разрешено только действие. Другие действия не поддерживаются.

Политика области для члена группы настраивается с помощью утверждения policies конфигурации в иерархии edit security [] Используйте утверждение конфигурации в правиле permit tunnel для ссылки на группу VPN. Это позволяет членам группы совместно ipsec-group-vpn использовать один SA.

Понимание антирефлексной записи для группы VPNv1

Antireplay – это функция IPsec, которая позволяет обнаруживать момент перехвата пакета, а затем повторного воспроизведения злоумышленниками. Режим antireplay включен по умолчанию для VPN групп, но может быть отключен для группы с помощью no-anti-replay утверждения конфигурации.

Когда включено антиреплейс, групповой сервер синхронизирует время между участниками группы. Каждый пакет IPsec содержит временную ветвь. Участник группы проверяет, попадает ли временная точка пакета в настроенное значение (значение по умолчанию anti-replay-time-window — 100 секунд). Пакет отброшен, если отметка времени превышает значение.

Примере: Настройка сервера и членов группы VPNv1

В этом примере показано, как настроить группу VPNv1 для расширения архитектуры IPsec для поддержки SAS, совместно поддерживаемых группой устройств безопасности. VPNv1 группы поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240 и SRX650 устройства.

Требования

Перед началом работы:

Обзор

In, группа VPN состоит из двух рядовых устройств (member1 и member2) и группового сервера (IP-адрес интерфейса обратной связи на сервере Рис. 2 – 20.0.0.1). Идентификатор группы – 1.

Рис. 2: Пример конфигурации сервера-участникаПример конфигурации сервера-участника

SA группы VPN фазы 2 должны быть защищены sa фазы 1. Поэтому конфигурация группы VPN должна включать настройку IKE фазы 1 как на сервере группы, так и на членах группы. Кроме того, один и тот же идентификатор группы должен быть настроен как на сервере группы, так и на членах группы.

Групповые политики настраиваются на групповом сервере. Все групповые политики, настроенные для группы, загружаются в члены группы. Политики области, настроенные на участнике группы, определяют, какие групповые политики действительно установлены на участника. В данном примере следующие групповые политики настроены на групповом сервере для загрузки всем участникам группы:

  • p1 — разрешает весь трафик от 10.1.0.0/16 до 10.2.0.0./16

  • p2 — разрешает весь трафик от 10.2.0.0./16 до 10.1.0.0/16

  • p3 — разрешает многонастоной трафик от 10.1.1.1/32

Устройство member1 настроено с помощью политик области, которые позволяют всему однонастроечным трафику в и из подсети 10.0.0.0/8. На member1 не настроена политика области для многоабюстного трафика; поэтому политика SA p3 не установлена на member1.

Устройство member2 настроено с политиками области, которые отсылают трафик от 10.1.0.0/16 из зоны доверия в недоверную зону и в 10.1.0.0/16 из недоверной зоны в зону доверия. Поэтому политика SA p2 не установлена на member2.

Конфигурации

Настройка группового сервера

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Для настройки группового сервера:

  1. Настройте адрес обратной связи на устройстве.

  2. Настройте IKE этапе 1 SA (эта конфигурация должна соответствовать SA фазы 1, настроенной на членах группы).

  3. Определите IKE и установите удаленные шлюзы.

  4. Настройте обмен SA на 2-м этапе.

  5. Настройте идентификатор группы и IKE шлюз.

  6. Настройте взаимодействие между серверами.

  7. Настройте групповые политики для загрузки в члены группы.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security group-vpn server команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка member1

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Для настройки member1:

  1. Настройка фазы 1 SA (эта конфигурация должна соответствовать SA фазы 1, настроенной на сервере группы).

  2. Определите IKE и установите удаленные шлюзы.

  3. Настройте идентификатор группы, IKE шлюз и интерфейс для member1.

    Во избежание проблем фрагментации пакетов рекомендуется настроить интерфейс, который используется участниками группы для подключения к MPLS MTU сети и должен иметь размер не более 1400(1400). Используйте утверждение set interface mtu конфигурации для того, чтобы MTU размер.

  4. Создайте адресные книги и прикрепляйте к ним зоны.

  5. Настройте политику областей из зоны доверия в недопустимую зону, которая разрешает однонастрастный трафик в и из подсети 10.0.0.0/8.

  6. Настройте политику области из недопустимой зоны в трастовую зону, которая разрешает однонастрадный трафик в и из подсети 10.0.0.0/8.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security group-vpn membershow security policies команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка члена 2

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Для настройки member2:

  1. Настройка фазы 1 SA (эта конфигурация должна соответствовать SA фазы 1, настроенной на сервере группы).

  2. Определите политику IKE и установите удаленный шлюз.

  3. Настройте идентификатор группы, IKE шлюз и интерфейс для member2.

    Во избежание проблем фрагментации пакетов рекомендуется настроить интерфейс, который используется участниками группы для подключения к MPLS MTU сети и должен иметь размер не более 1400(1400). Используйте утверждение set interface mtu конфигурации для того, чтобы MTU размер.

  4. Создайте адресную книгу и прикрепляйте ее к зоне доверия.

  5. Создайте другую адресную книгу и прикрепляйте ее к недоверной зоне.

  6. Настройте политику области из зоны доверия в недоверную зону, которая блокирует трафик от 10.1.0.0/16.

  7. Настройте политику области из недоверной зоны в трастовую зону, которая блокирует трафик в диапазоне 10.1.0.0/16.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security group-vpn membershow security policies команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Для подтверждения правильной работы конфигурации выполните эту задачу:

Проверка динамических политик для member1

Цель

Просмотреть динамические политики, установленные на member1.

Действий

После загрузки сервером группы ключей к member1, show security dynamic-policies введите команду в рабочем режиме.

Смысл

Политика многоастной трансляции p3 с сервера не установлена на member1, так как на member1 не настроена политика области, которая разрешает многостостойный трафик.

Проверка динамических политик для member2

Цель

Просмотреть динамические политики, установленные на участнике 2.

Действий

После загрузки сервером группы ключей к member2, show security dynamic-policies введите команду в рабочем режиме.

Смысл

Политика p2 (для трафика от 10.1.0.0/16 до 10.2.0.0/16) с сервера не установлена на member2, так как она соответствует политике безопасности deny2, настроенной на member2.

Примере: Настройка связи между членами группы VPNv1 для однонастных сообщений о повторной настройке

В этом примере показано, как позволить серверу отправлять одноафровую перенаправляемую сообщения членам группы, чтобы убедиться, что доступны допустимые ключи для шифрования трафика между участниками группы. VPNv1 группы поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240 и SRX650 устройства.

Требования

Перед началом работы:

  • Настройте сервер и члены группы для IKE фазы 1.

  • Настройте сервер группы и членов группы для SA фазы 2 IPsec.

  • Настройте группу g1 на групповом сервере.

Обзор

В данном примере для группы заданы следующие параметры связи между сервером и g1 сервером:

  • Сервер отправляет однонаправные сообщения о повторном нажатии на себя членам группы.

  • 3des-cbc используется для шифрования трафика между сервером и участниками.

  • sha1 используется для аутентификации членов группы.

Значения по умолчанию используются для пульса сервера, срока действия KEK и повторной передачи.

Конфигурации

Процедуры

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Настройка взаимодействия между серверами:

  1. Заведите тип связи.

  2. Установите алгоритм шифрования.

  3. Установите аутентификацию участника.

Проверки

Чтобы проверить правильность работы конфигурации, введите show security group-vpn server group g1 server-member-communication команду.

Примере: Настройка связи между членами группы VPNv1 для многоастных сообщений повторной передачи

В этом примере показано, как позволить серверу отправлять многоафровую перенаправку членам группы, чтобы убедиться, что доступны допустимые ключи для шифрования трафика между участниками группы. VPNv1 группы поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240 и SRX650 устройства.

Требования

Перед началом работы:

Обзор

В данном примере необходимо указать следующее взаимодействие между сервером и g1 группой:

  • Сервер посылает членам группы многоастерные сообщения повторной отправки с помощью адрес многоадресной рассылки 226.1.1.1 и интерфейса ge-0/0/1.0.

  • 3des-cbc используется для шифрования трафика между сервером и участниками.

  • sha1 используется для аутентификации членов группы.

Значения по умолчанию используются для пульса сервера, срока действия KEK и повторной передачи.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Чтобы настроить взаимодействие между сервером и сервером для многоастрокных сообщений повторной передачи:

  1. Заведите тип связи.

  2. Установите группу многоавестной вещания.

  3. Задай интерфейс для исходяющих многоастерских сообщений.

  4. Установите алгоритм шифрования.

  5. Установите аутентификацию участника.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security group-vpn server group g1 server-member-communication команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка возможности взаимодействия между серверами и серверами для многоаксных сообщений повторной передачи

Цель

Убедитесь, что параметры связи между сервером и сервером настроены правильно, и убедитесь, что доступны допустимые ключи для шифрования трафика между участниками группы.

Действий

В рабочем режиме введите show security group-vpn server group g1 server-member-communication команду.

Примере: Настройка группы VPNv1 с colocation-member-server

В данном примере показано, как настроить устройство для режима colocation, который позволяет серверу и члену функций сосуществовать на одном и том же физическом устройстве. VPNv1 группы поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240 и SRX650 устройства.

Требования

Перед началом работы:

Обзор

Когда режим colocation настроен, функции группового сервера и члена группы могут сосуществовать в одном и том же устройстве. В режиме colocation сервер и участник должны иметь разные IP-адреса, чтобы пакеты доставлялись должным образом.

In, группа VPN (идентификатор группы – 1) состоит из двух членов (member1 и member2) и группового сервера (IP-адрес интерфейса обратной связи Рис. 3 20.0.0.1). Обратите внимание, что член 1 сосуществует на том же устройстве, что и групповой сервер. В этом примере интерфейсу, который member1 использует для подключения к MPLS сети (ge-0/1/0), назначен IP-адрес 10.1.0.1/32.

Рис. 3: Пример колокации в составе сервераПример колокации в составе сервера

Инструкции по настройке в этом разделе описывают, как настроить устройство group server-member1 для режима colocation. Пример настройки member2: Настройка сервера и членов группы VPNv1.

Чтобы предотвратить проблемы фрагментации пакетов, рекомендуется настроить интерфейс, который используется участником группы для подключения к MPLS сети и должен иметь размер не более 1400 MTU. Используйте утверждение set interface mtu конфигурации для того, чтобы MTU размер.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Чтобы настроить группу VPN с colocation-member server-member:

  1. Настройте адрес обратной связи на устройстве.

  2. Настройте интерфейс, который member1 использует для подключения к MPLS сети.

  3. Настройте групповую colocation VPN на устройстве.

  4. Настройте IKE этапе 1 SA для сервера (эта конфигурация должна соответствовать SA фазы 1, настроенной для членов группы).

  5. Определите IKE и установите удаленные шлюзы.

  6. Настройте обмен SA фазы 2 для сервера.

  7. Настройте идентификатор группы, IKE шлюз, время воспроизведения и адрес сервера на сервере.

  8. Настройте сервер для связи с членами группы.

  9. Настройте групповые политики для загрузки в члены группы.

  10. Настройка фазы 1 SA для member1 (эта конфигурация должна соответствовать SA фазы 1, настроенной для сервера группы).

  11. Определите политику и установите удаленный шлюз для member1.

  12. Настройте идентификатор группы, IKE шлюз и интерфейс для member1.

  13. Создайте адресные книги и прикрепляйте их к зонам.

  14. Настройте политику областей из зоны доверия в недопустимую зону, которая разрешает однонастрастный трафик в и из подсети 10.0.0.0/8.

  15. Настройте политику области из недопустимой зоны в трастовую зону, которая разрешает однонастрадный трафик в и из подсети 10.0.0.0/8.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security group-vpn команды show security policies и команды. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

В списке настроенных политик безопасности убедитесь, что политики области перечислены перед политиками по умолчанию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка регистрации члена группы VPN

Цель

Убедитесь, что члены группы VPN зарегистрированы правильно.

Действий

В рабочем режиме введите show security group-vpn registered-members команду.

Проверка групп VPN Server Security Associations для IKE

Цель

Проверьте SAS для группового СЕРВЕРА VPN на IKE.

Действий

В рабочем режиме введите show security group-vpn server ike security-associations команду.

Проверка групп VPN Server Security Associations для IPsec

Цель

Проверьте SAs для группового СЕРВЕРА VPN для IPsec.

Действий

В рабочем режиме введите show security group-vpn server ipsec security-associations команду.

Проверка ассоциаций безопасности членов группы VPN для IKE

Цель

Проверьте SAS для членов группы VPN на IKE.

Действий

В рабочем режиме введите show security group-vpn member ike security-associations команду.

Проверка ассоциаций безопасности членов группы VPN для IPsec

Цель

Проверьте SAs для членов группы VPN для IPsec.

Действий

В рабочем режиме введите show security group-vpn member ipsec security-associations команду.

Таблица истории выпусков
Версия
Описание
12.3X48-D30
Начиная с Junos OS версии 12.3X48-D30, члены группы VPNv1 могут работать с серверами Group VPNv2.
12.3X48-D30
Начиная с Junos OS release 12.3X48-D30, члены группы VPNv1 на SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 и SRX650 устройства могут работать с серверами Group VPNv2.