На этой странице
Group VPNv2
В группе VPNv2 внедрена концепция надежной группы для устранения точестных туннелей и связанной с ними маршрутки на наложения. Все члены группы совместно имеют общую ассоциацию безопасности (SA), также известная как группа SA.
Обзор группы VPNv2
Ассоциация безопасности IPsec (SA) является однонаправленным соглашением между участниками виртуальной частной сети (VPN), которое определяет правила использования для алгоритмов аутентификации и шифрования, механизмов обмена ключами и безопасной связи. При многих реализациях VPN, SA является туннелем "точка-точка" между двумя устройствами безопасности Рис. 1 (см. ).
Группа VPNv2 расширяет архитектуру IPsec для поддержки безопасности, совместно поддерживаемых группой устройств обеспечения безопасности Рис. 2 (см.). Благодаря группе VPNv2 полная взаимоподключаемость достигается сохранением исходных IP-адресов источника и назначения во внешнем загоне. Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах.
Group VPNv2 – это улучшенная версия функции группы VPN, представленная в более ранних версиях Junos OS для серия SRX устройств. Устройства группы VPNv2 Juniper поддерживают RFC 6407, Домен группы интерпретации (GDOI)и поддерживают поддержку других устройств, которые соответствуют RFC 6407.
- Понимание протокола GDOI для группы VPNv2
- Понимание серверов и членов группы VPNv2
- Ограничения группы VPNv2
- Понимание связи между членами группы VPNv2 и сервером
- Основные операции группы VPNv2
Понимание протокола GDOI для группы VPNv2
Группа VPNv2 основана на RFC 6407, домен группы интерпретации (GDOI). В RFC описывается протокол между участниками группы и групповыми серверами для создания SAS среди членов группы. Сообщения GDOI создают, поддерживают или удаляют SAS для группы устройств. Group VPNv2 поддерживается на vSRX и всех серия SRX, кроме SRX5400, SRX5600 и SRX5800 устройств.
Протокол GDOI работает на порту UDP 848. Протокол управления ассоциациями безопасности и ключами Интернета (ISAKMP) определяет две фазы согласования для создания ассоциаций безопасности для IKE IPsec. Фаза 1 позволяет двум устройствам установить ISAKMP SA для других протоколов безопасности, таких как GDOI.
При выполнении группы VPNv2 согласование ISAKMP SA фазы 1 выполняется между групповым сервером и членом группы. Сервер и участник должны использовать ту же политику ISAKMP. При обмене GDOI между сервером и членом устанавливаются ассоциации безопасности, общие с другими участниками группы. Участник группы не должен согласовывать IPsec с другими участниками группы. Обмены GDOI должны быть защищены с помощью СА ISAKMP фазы 1.
Существует два типа обмена GDOI:
Обмен позволяет участнику запрашивать УА и ключи, общие
groupkey-pullдля группы, с сервера. Члены группы должны зарегистрироваться на групповом сервере черезgroupkey-pullобмен.Обмен – это одно повторное сообщение, которое позволяет серверу отправлять группы SAS и ключи членам до истечения срока действия
groupkey-pushсуществующих. Повторное сообщение – это незатвершенные сообщения, отосланные от сервера участникам.
Понимание серверов и членов группы VPNv2
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. Центр группы VPNv2 является групповым контроллером/ключевым сервером (GCKS). Для обеспечения избыточности GCKS можно использовать серверный кластер.
Сервер GCKS или групповой сервер выполняют следующие задачи:
Управляет членством в группе.
Генерирует ключи шифрования.
Отправляет новые группы SAS и ключи участникам. Члены группы шифруют трафик на основе сообщений безопасности группы и ключей, предоставленных групповым сервером.
Групповый сервер может обслужить несколько групп. Один устройство обеспечения безопасности может быть членом нескольких групп.
Каждая группа представлена идентификатором группы ( число от 1 до 4 294 967 295). Сервер группы и члены группы связаны друг с другом идентификатором группы. На группу может быть только один идентификатор группы, и несколько групп не могут использовать один идентификатор группы.
Ниже приводится высокое представление о действиях сервера и члена группы VPNv2:
Сервер группы прослушивает UDP-порт 848 для регистрации членов.
Чтобы зарегистрироваться на сервере группы, участник сначала создает IKE SA с сервером. Чтобы присоединиться к группе, устройство-участник IKE аутентификацию фазы 1. Аутентификация с предварительным ключом для каждого участника поддерживается.
После успешной аутентификации и регистрации устройство-участник извлекает ассоциации безопасности группы и ключи для указанного идентификатора группы с сервера с обменом
groupkey-pullGDOI.Сервер добавляет члена в группу.
Члены группы обмениваются пакетами, зашифрованными с помощью ключей SA группы.
Сервер отправляет SA и обновления ключей участникам группы с сообщениями rekey (GDOI). groupkey-push Сервер отправляет сообщения повторного ключа до истечения срока действия СОГЛАШЕНИЯ, чтобы убедиться, что доступны допустимые ключи для шифрования трафика между участниками группы.
Для повторного сообщения, отосланного сервером, требуется сообщение подтверждения (ack) от каждого члена группы. Если сервер не получает сообщение ack от члена, повторное сообщение перенастраевается при настройке (значение по умолчанию retransmission-period — 10 секунд). Если после настройки (значение по умолчанию – 2 раза), он удаляется из зарегистрированных number-of-retransmission членов сервера. Кроме IKE удаляется sa между сервером и членом ассоциации.
Сервер также посылает сообщения повторного ключа, чтобы предоставить членам новые ключи после изменения группы SA.
Ограничения группы VPNv2
Серверы Group VPNv2 работают только с участниками группы VPNv2, поддерживаюными RFC 6407, Домен группы интерпретации (GDOI).
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. Ниже для Group VPNv2 не поддерживается следующее:
Snmp.
Политика отказа от сервера Cisco GET VPN.
Поддержка аутентификации на 1-м IKE PKI.
Colocation of group server and member, где сервер и член могут сосуществовать в одном физическом устройстве.
Члены группы настроены как кластеры шасси.
Интерфейс J-Web для настройки и мониторинга.
Трафик многоавестных данных.
Группа VPNv2 не поддерживается в тех случаях, когда IP-адреса не могут сохраняться, например, в Интернете, где NAT используется ip-адрес.
Понимание связи между членами группы VPNv2 и сервером
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. Взаимодействие с членами сервера позволяет серверу отправлять членам GDOI groupkey-push (rekey) сообщения. Если связь с сервером не настроена для группы, члены могут отправлять сообщения GDOI для регистрации и регистрации на сервере, но сервер не может отправлять сообщения членам groupkey-pullgroupkey-push группы.
Связь между сервером и сервером настраивается для группы с помощью server-member-communication операторов конфигурации в иерархии edit security group-vpn server [] Можно определить следующие параметры:
Алгоритм аутентификации (sha-256 или sha-384), используемый для аутентификации участника к серверу. Нет алгоритма по умолчанию.
Алгоритм шифрования, используемый для связи между сервером и участником. Можно указать aes-128-cbc, aes-192-cbc или aes-256-cbc. Нет алгоритма по умолчанию.
Однонаправный тип связи для повторного сообщения, отсылаемого участникам группы.
Срок действия ключа шифрования (KEK). Значение по умолчанию — 3600 секунд.
Количество раз, когда сервер группы повторно передает сообщения участнику группы без ответа (по умолчанию – 2 раза) и период времени между повторной передачой (значение по умолчанию
groupkey-push— 10 секунд).
Если связь между сервером и группой не настроена, список участников, отображаемый командой, показывает участников группы, зарегистрированных на сервере; члены могут быть активными или show security group-vpn server registered-members нет. После настройки связи между серверами и членами группы список участников очищается. Для типа одноастной передачи команда show security group-vpn server registered-members отображает только активных членов.
Основные операции группы VPNv2
В этом разделе содержатся следующие разделы:
Групповые ключи
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. На групповом сервере ведется база данных для отслеживания взаимосвязи между группами VPN, членами группы и групповыми ключами. Существует два вида групповых ключей, которые сервер загружает в члены:
Ключ шифрования ключа (KEK) — используется для шифрования обмена ключами SA (GDOI).
groupkey-pushОдин KEK поддерживается для группы.Ключ шифрования трафика (TEK) — используется для шифрования и расшифровки трафика данных IPsec между участниками группы.
Ключ, связанный с SA, принимается членом группы, только если на участнике настроена политика совпадения. Для группы установлен принятый ключ, в то время как отклоненный ключ отбрасывается.
Сообщения повторного нажатия
Если группа настроена для связи с членами сервера, сервер отправляет SA и обновления ключей участникам группы с сообщениями rekey (GDOI). groupkey-push Сообщения rekey посылаются до истечения срока действия SAS; это гарантирует, что доступны допустимые ключи для шифрования трафика между участниками группы.
Сервер также посылает новые ключи членам, если членство в группе изменено или SA группы изменено (например, групповая политика добавлена или удалена).
Параметры связи сервер-участник должны быть настроены на сервере, чтобы разрешить серверу отправлять новые сообщения членам группы.
Сервер группы посылает каждому участнику группы одну копию одноастерного сообщения о повторной отправке. При получении сообщения о повторном подмене члены группы должны отправить подтверждение (ACK) на сервер. Если сервер не получает ACK от члена (включая повторное передачу повторного сообщения), он считает его неактивным и удаляет его из списка участников. Сервер прекращает отправку ему сообщений о повторном поджатом.
Операторы конфигурации для number-of-retransmission серверно-членского взаимодействия контролируют повторное повторное сообщение сервера, когда нет ACK от retransmission-period участника.
Интервал, с которого сервер отправляет сообщения rekey, основан на значении утверждения конфигурации в lifetime-seconds иерархии edit security group-vpn server group group-name [] Новые ключи генерируются до истечения срока действия ключей KEK и TEK.
KeK настраивается как часть взаимодействия между серверами и членами сети; значение по умолчанию lifetime-seconds — 3600 секунд. Для lifetime-seconds TEK настроено предложение IPsec; значение по умолчанию — 3600 секунд.
Регистрация участников
Если член группы не получит новый ключ SA от сервера до истечения срока действия текущего ключа, он должен перерегистрться с сервером и получить обновленные ключи при обмене groupkey-pull GDOI.
Обзор конфигурации группы VPNv2
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. В данной теме описаны основные задачи настройки Group VPNv2.
Групповой контроллер/ключевой сервер (GCKS) управляет ассоциациями безопасности Group VPNv2 и генерирует ключи шифрования и распределяет их участникам группы. Для обеспечения избыточности GCKS можно использовать кластер серверов Group VPNv2. См. "О кластерах серверов VPNv2".
Настройте на групповом сервере следующее:
- IKE Фаза 1 SA. См. IKE фазы 1 для Group VPNv2.
- SA IPsec. См. "Настройка SA IPsec для группы VPNv2".
- Сведения о группе VPN, включая идентификатор группы, IKE шлюзы для членов группы, максимальное число членов группы и сообщения об участниках сервера. Конфигурация группы включает групповую политику, определяемую трафик, к которому применяются SA и ключи. Серверный кластер и окно времени воспроизведения могут быть дополнительно настроены. См. Обзор конфигурации группы VPNv2 и общие сведения об управлении трафиком группы VPNv2.
Для члена группы настройте следующее:
IKE Фаза 1 SA. См. IKE фазы 1 для Group VPNv2.
SA IPsec. См. "Настройка SA IPsec для группы VPNv2".
Политика IPsec, определяющий входящие зоны (обычно защищенную LAN), исходящую зону (обычно – WAN) и группу VPN, к которой применяется политика. Могут быть заданы правила исключения или открытые для сбойов правила. См. "Понимание управления трафиком группы VPNv2".
Политика безопасности, позволяющая групповому VPN-трафику между зонами, заданными в политике IPsec.
Для работы группы VPNv2 необходима рабочая топология маршрутов, которая позволяет клиентным устройствам достигать предполагаемых узлов по всей сети.
Группа настраивается на сервере с помощью утверждения group конфигурации в иерархии edit security group-vpn server []
Сведения о группе состоят из следующих сведений:
Идентификатор группы — значение, которое идентифицирует группу VPN. Тот же идентификатор группы должен быть настроен на участнике группы.
Каждый участник группы настраивается с помощью утверждения
ike-gatewayконфигурации. Может быть несколько экземпляров этого утверждения конфигурации, по одному для каждого члена группы.Групповые политики — политики, которые будут загружаться участникам. Групповые политики описывают трафик, к которому применяются SA и ключи. См. "Понимание управления трафиком группы VPNv2".
Порог члена — максимальное число участников в группе. После того, как порог члена для группы достигнут, сервер перестает отвечать на
groupkey-pullинициалы от новых членов. См. "О кластерах серверов VPNv2".Server-member communication – дополнительная конфигурация, которая позволяет серверу отправлять членам группы
groupkey-pushrekey-сообщения.Серверный кластер — дополнительная конфигурация, поддерживаюая избыточность контроллера/ключа группы (GCKS). См. "О кластерах серверов VPNv2".
Antireplay — дополнительная конфигурация, которая обнаруживает перехват и повторение пакетов. См. "Понимание групп VPNv2 Antireplay".
Понимание IKE фазы 1 для group VPNv2
В IKE этапе 1 SA между групповым сервером и членом группы создается безопасный канал для согласований sa IPsec, которые совместно делятся с группой. Для стандартных VPN IPsec на Juniper Networks безопасности конфигурация SA фазы 1 состоит из указания предложения IKE, политики и шлюза.
Для группы VPNv2 конфигурация IKE 1 SA аналогична конфигурации для стандартных VPN IPsec, но выполняется в иерархиях [] и edit security group-vpn server ikeedit security group-vpn member ike [] Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах.
В конфигурации IKE предложения заданная настройка метода аутентификации и алгоритмов шифрования, которые будут использоваться для открытия защищенного канала между участниками. В конфигурации IKE политики задается режим, в котором будет согласовываться канал фазы 1, задают тип используемого обмена ключами и ссылается на предложение фазы 1. В конфигурации IKE шлюза необходимо ссылаться на политику фазы 1.
Предложение IKE и конфигурация политики на сервере группы должны соответствовать предложению IKE и конфигурации политики для членов группы. На групповом сервере шлюз IKE для каждого члена группы. Для члена группы в конфигурации шлюза IKE до четырех адресов серверов.
О конфигурации IPsec SA для Group VPNv2
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. После того, как сервер и участник установили защищенный и аутентификациный канал при согласовании фазы 1, они продолжают создавать ассоциации безопасности IPsec, которые являются общими для членов группы для защиты данных, передаваемых между участниками. Хотя конфигурация SA IPsec для Group VPNv2 аналогична конфигурации для стандартных VPN, участнику группы не нужно согласовывать SA с другими участниками группы.
Конфигурация IPsec для Group VPNv2 состоит из следующих сведений:
На групповом сервере, предложение IPsec настроено для протокола безопасности, аутентификации и алгоритма шифрования, который будет использоваться для SA. Предложение SA IPsec настраивается на сервере группы с помощью утверждения
proposalконфигурации в иерархииedit security group-vpn server ipsec[]Для члена группы настраивается автоматический IKE, который ссылается на идентификатор группы, сервер группы (сконфигурирован с утверждением конфигурации) и интерфейс, используемый членом для подключения к одноранговых узлам
ike-gatewayгруппы. Автокейт IKE на члене с помощью утвержденияvpnконфигурации в иерархииedit security group-vpn member ipsec[]
См. также
Понимание управления трафиком группы VPNv2
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. Сервер группы распределяет ассоциации безопасности IPsec и ключи для членов указанной группы. Все члены одной группы имеют один и тот же набор для IPsec SAs. SA, установленное на определенного члена группы, определяется политикой, связанной с SA группы, и политикой IPsec, настроенной на участнике группы.
- Групповые политики, настроенные на групповых серверах
- Политики IPsec, настроенные на членах группы
- Fail-Close
- Исключения и правила fail-open
- Приоритеты политик и правил IPsec
Групповые политики, настроенные на групповых серверах
В группе VPN каждая группа SA и ключ, который сервер передает члену, связаны с групповой политикой. Групповая политика описывает трафик, для которого должен использоваться ключ, включая протокол, адрес источника, порт источника, адрес назначения и порт назначения. На сервере групповая политика настраивается с помощью match-policy policy-name параметров на уровне edit security group-vpn server group name ipsec-sa name иерархии []
Одинаковые групповые политики (настроенные с одинаковым адресом источника, адресом назначения, портом источника, портом назначения и значениями протокола) не могут существовать для одной группы. При попытке сфиксировать конфигурацию, которая содержит идентичные групповые политики для группы, возвращается ошибка. Если это происходит, необходимо удалить одну из одинаковых групповых политик, прежде чем можно будет сфиксировать конфигурацию.
Политики IPsec, настроенные на членах группы
Для члена группы политика IPsec состоит из следующих сведений:
Входящие зоны
from-zone() для группового трафика.Исходяя зона
to-zone() для группового трафика.Имя группы, к которой применяется политика IPsec. Только одно имя группы VPNv2 можно ссылаться на конкретное название из зоны/в зону.
Интерфейс, который используется участником группы для подключения к группе VPNv2, должен принадлежать исходя этой зоне. Этот интерфейс определяется с помощью group-vpn-external-interface утверждения на уровне edit security group-vpn member ipsec vpn vpn-name [] иерархии.
Для члена группы политика IPsec настроена на уровне edit security ipsec-policy [] иерархии. Трафик, который соответствует политике IPsec, далее проверяется по исключениям и правилам fail-open, настроенным для группы.
Fail-Close
По умолчанию трафик, не совпадая с исключениями или правилами fail-open или групповыми политиками, полученными с группового сервера, блокируется; это называется fail-close.
Исключения и правила fail-open
Для каждой группы можно настроить следующие типы правил:
Трафик, исключенный из VPN-шифрования. Примеры такого типа трафика могут включать BGP OSPF протоколов маршрутов. Чтобы исключить трафик из группы, используйте
set security group-vpn member ipsec vpn vpn-name exclude ruleконфигурацию. Можно настроить не более 10 правил исключения.Трафик, критически важный для работы клиента и должен быть отправлен в незашифрованном (незашифрованном) случае, если участник группы не получил действительный ключ шифрования трафика (TEK) для SA IPsec. Правила fail-open позволяют этому потоку трафика, в то время как весь другой трафик блокируется. В конфигурации в включить
set security group-vpn member ipsec vpn vpn-name fail-open rulefail-open. Можно настроить не более 10 правил fail-open.
Приоритеты политик и правил IPsec
Политики и правила IPsec имеют следующие приоритеты для члена группы:
Исключить правила, определя которые определяют трафик, который должен быть исключен из vpn-шифрования.
Групповые политики, загружаемые с группового сервера.
Правила fail-open, определяют трафик, который отправляется открытым текстом, если нет допустимого TEK для SA.
Политика блокировки при сбойе, которая блокирует трафик. Это значение по умолчанию, если трафик не соответствует исключениям или правилам fail-open или групповым политикам.
См. также
Понимание процесса зондов восстановления группы VPNv2
Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах. Две ситуации могут указывать на то, что член группы не синхронизирован с групповым сервером и другими участниками группы:
Участник группы получает пакет инкапсулирующий параметр безопасности полезная нагрузка (ESP) с неовестенным индексом параметров безопасности (SPI).
Существует исходящая трафик IPsec, но нет входящих трафика IPsec на участнике группы.
При обнаружении любой ситуации на участнике группы может быть инициирован процесс зонда восстановления. Процесс зонда восстановления инициирует обмены GDOI через определенные интервалы для обновления groupkey-pull SA участника с сервера группы. Если имеет место DoS неверных пакетов SPI или если сам отправитель не синхронизирован, индикация не синхронизации на участнике группы может быть ложным сигналом тревоги. Чтобы избежать перегрузки системы, инициация будет инициален с интервалами groupkey-pull 10, 20, 40, 80, 160 и 320 секунд.
Процесс зонда восстановления по умолчанию отключен. Чтобы активировать процесс зонда восстановления, настройте recovery-probe его на уровне edit security group-vpn member ipsec vpn vpn-name [] иерархии.
Понимание того, как не повторяемая игра на группе VPNv2
Антиреплейс группы VPNv2 поддерживается на vSRX и всех серия SRX устройствах, кроме SRX5400, SRX5600 и SRX5800 устройств. Antireplay – это функция IPsec, которая позволяет обнаруживать момент перехвата пакета, а затем повторного воспроизведения злоумышленниками. Антирекламное воспроизведение для группы по умолчанию отключено.
Каждый пакет IPsec содержит временную ветвь. Участник группы проверяет, попадает ли временная пара пакета в законфигурированную anti-replay-time-window величину. Пакет отброшен, если отметка времени превышает значение.
Рекомендуется настроить NTP на всех устройствах, поддерживаюх антиреплейс Group VPNv2.
Члены группы, работающие на vSRX на хост-компьютере, где гипервизор работает под высокой нагрузкой, могут испытывать проблемы, которые можно исправить путем повторной конфигурировать anti-replay-time-window значение. Если данные, совпадают с политикой IPsec на участнике группы, не передаются, проверьте выходные данные на количество show security group-vpn member ipsec statistics ошибок D3P. Убедитесь, что NTP работает правильно. При ошибках настройт anti-replay-time-window значение.
См. также
Примере: Настройка сервера и членов группы VPNv2
В этом примере показано, как настроить сервер Group VPNv2 для обеспечения поддержки группы контроллер/ключ (GCKS) участникам группы VPNv2. Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах.
Требования
В примере используются следующие аппаратные и программные компоненты:
Поддерживаемый серия SRX или экземпляр vSRX, работающий Junos OS или 15.1X49-D30, который поддерживает Group VPNv2. Это серия SRX или vSRX работает как сервер Group VPNv2.
Два поддерживаемых серия SRX или vSRX, работающих Junos OS выпуске 15.1X49-D30 или более поздней версии, которые поддерживают Группу VPNv2. Эти устройства или экземпляры работают как члены группы VPNv2.
Два поддерживаемых серия MX устройства под управлением Junos OS или 15.1R2 более поздних, которые поддерживают Group VPNv2. Эти устройства работают как члены группы VPNv2.
Имя хоста, пароль администратора корня и доступ к управлению должны быть настроены на каждом устройстве. Рекомендуется настраивать NTP и на каждом устройстве.
Для работы группы VPNv2 необходима рабочая топология маршрутов, которая позволяет клиентным устройствам достигать предполагаемых узлов по всей сети. В этом примере основное внимание уделяется конфигурации Group VPNv2; конфигурация маршрутов не описана.
Обзор
В данном примере сеть Group VPNv2 состоит из сервера и четырех членов. Два члена являются серия SRX или vSRX, а другие два серия MX устройства. Общая группа VPN SAs обеспечивает безопасный трафик между участниками группы.
Sa группы VPN должны быть защищены sa фазы 1. Поэтому конфигурация группы VPN должна включать настройку IKE фазы 1 как на сервере группы, так и на членах группы.
Один и тот же идентификатор группы должен быть настроен на сервере группы и на членах группы. В данном примере имя группы – GROUP_ID-0001, а идентификатор группы – 1. Групповая политика, настроенная на сервере, указывает, что SA и ключ применяются к трафику между подсетями в диапазоне 172.16.0.0/12.
На SRX или vSRX группа политика IPsec настраивается для группы с зоной LAN как из зоны (входящий трафик) и зоной WAN в зону (исходящая трафик). Политика безопасности также необходима для обеспечения трафика между зонами LAN и WAN.
Топологии
Рис. 3 отображает Juniper Networks устройства, настроенные для этого примера.
Конфигурации
- Настройка группового сервера
- Настройка члена группы GM-0001 (серия SRX или экземпляра vSRX)
- Настройка члена группы GM-0002 (серия SRX или экземпляра vSRX)
- Настройка члена группы GM-0003 (серия MX устройство)
- Настройка члена группы GM-0004 (серия MX устройство)
Настройка группового сервера
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set interfaces ge-0/0/1 unit 0 family inet address 10.10.100.1/24 set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set security zones security-zone GROUPVPN host-inbound-traffic system-services ike set security zones security-zone GROUPVPN host-inbound-traffic system-services ssh set security zones security-zone GROUPVPN host-inbound-traffic system-services ping set security zones security-zone GROUPVPN interfaces ge-0/0/1.0 set routing-options static route 10.18.101.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.102.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.103.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.104.0/24 next-hop 10.10.100.254 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn server ike policy GMs mode main set security group-vpn server ike policy GMs proposals PSK-SHA256-DH14-AES256 set security group-vpn server ike policy GMs pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway GM-0001 ike-policy GMs set security group-vpn server ike gateway GM-0001 address 10.18.101.1 set security group-vpn server ike gateway GM-0001 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0002 ike-policy GMs set security group-vpn server ike gateway GM-0002 address 10.18.102.1 set security group-vpn server ike gateway GM-0002 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0003 ike-policy GMs set security group-vpn server ike gateway GM-0003 address 10.18.103.1 set security group-vpn server ike gateway GM-0003 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0004 ike-policy GMs set security group-vpn server ike gateway GM-0004 address 10.18.104.1 set security group-vpn server ike gateway GM-0004 local-address 10.10.100.1 set security group-vpn server ipsec proposal AES256-SHA256-L3600 authentication-algorithm hmac-sha-256-128 set security group-vpn server ipsec proposal AES256-SHA256-L3600 encryption-algorithm aes-256-cbc set security group-vpn server ipsec proposal AES256-SHA256-L3600 lifetime-seconds 3600 set security group-vpn server group GROUP_ID-0001 group-id 1 set security group-vpn server group GROUP_ID-0001 member-threshold 2000 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0001 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0002 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0003 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0004 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0005 set security group-vpn server group GROUP_ID-0001 anti-replay-time-window 1000 set security group-vpn server group GROUP_ID-0001 server-member-communication communication-type unicast set security group-vpn server group GROUP_ID-0001 server-member-communication encryption-algorithm aes-256-cbc set security group-vpn server group GROUP_ID-0001 server-member-communication lifetime-seconds 7200 set security group-vpn server group GROUP_ID-0001 server-member-communication sig-hash-algorithm sha-256 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 proposal AES256-SHA256-L3600 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 source 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 destination 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Настройка сервера Group VPNv2:
Настройте интерфейсы, зоны безопасности и политики безопасности.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.10.100.1/24 [edit security zones security-zone GROUPVPN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 then reject user@host# set global policy 1000 then log session-init user@host# set global policy 1000 then count user@host# set default-policy deny-all
Настройте статические маршруты.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.102.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.103.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.104.0/24 next-hop 10.10.100.254
Настройте IKE, политику и шлюзы.
[edit security group-vpn server ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn server ike policy GMs] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn server ike gateway GM-0001] user@host# set ike-policy GMs user@host# set address 10.18.101.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0002] user@host# set ike-policy GMs user@host# set address 10.18.102.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0003] user@host# set ike-policy GMs user@host# set address 10.18.103.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0004] user@host# set ike-policy GMs user@host# set address 10.18.104.1 user@host# set local-address 10.10.100.1
Настройте предложение IPsec.
[edit security group-vpn server ipsec proposal AES256-SHA256-L3600] user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 3600 VPN Group
Настройте группу.
[edit security group-vpn server group GROUP_ID-0001] user@host# set group-id 1 user@host# set member-threshold 2000 user@host# set ike-gateway GM-0001 user@host# set ike-gateway GM-0002 user@host# set ike-gateway GM-0003 user@host# set ike-gateway GM-0004 user@host# set anti-replay-time-window 1000
Настройте взаимодействие между серверами.
[edit security group-vpn server group GROUP_ID-0001 server-member-communication] user@host# set communication-type unicast user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 7200 user@host# set sig-hash-algorithm sha-256
Настройте групповую политику для загрузки в члены группы.
[edit security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001] user@host# set proposal AES256-SHA256-L3600 user@host# set match-policy 1 source 172.16.0.0/12 user@host# set match-policy 1 destination 172.16.0.0/12 user@host# set match-policy 1 protocol 0
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 10.10.100.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.10.100.254;
route 10.18.102.0/24 next-hop 10.10.100.254;
route 10.18.103.0/24 next-hop 10.10.100.254;
route 10.18.104.0/24 next-hop 10.10.100.254;
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.10.100.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.10.100.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.10.100.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.10.100.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
После настройки устройства войдите в commit режим конфигурации.
Настройка члена группы GM-0001 (серия SRX или экземпляра vSRX)
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.101.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.101.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.102.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.101.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.101.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.101.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Настройка члена группы VPNv2:
Настройте интерфейсы, зоны безопасности и политики безопасности.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.101.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Настройте статические маршруты.
[edit routing-options] user@host# set static route 10.18.102.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.101.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.101.254
Настройте IKE, политику и шлюз.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.101.1
Настройте SA IPsec.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Настройте политику IPsec.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.102.0/24 next-hop 10.18.101.254;
route 10.18.103.0/24 next-hop 10.18.101.254;
route 10.18.104.0/24 next-hop 10.18.101.254;
route 172.16.101.0/24 next-hop 10.18.101.254;
route 172.16.102.0/24 next-hop 10.18.101.254;
route 172.16.103.0/24 next-hop 10.18.101.254;
route 172.16.104.0/24 next-hop 10.18.101.254;
route 10.10.100.0/24 next-hop 10.18.101.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
После настройки устройства войдите в commit режим конфигурации.
Настройка члена группы GM-0002 (серия SRX или экземпляра vSRX)
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.102.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.102.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.101.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.102.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.102.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.102.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Настройка члена группы VPNv2:
Настройте интерфейсы, зоны безопасности и политики безопасности.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.102.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Настройте статические маршруты.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.102.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.102.254
Настройте IKE, политику и шлюз.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.102.1
Настройте SA IPsec.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Настройте политику IPsec.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.102.254;
route 10.18.103.0/24 next-hop 10.18.102.254;
route 10.18.104.0/24 next-hop 10.18.102.254;
route 172.16.101.0/24 next-hop 10.18.102.254;
route 172.16.102.0/24 next-hop 10.18.102.254;
route 172.16.103.0/24 next-hop 10.18.102.254;
route 172.16.104.0/24 next-hop 10.18.102.254;
route 10.10.100.0/24 next-hop 10.18.102.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.102.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
После настройки устройства войдите в commit режим конфигурации.
Настройка члена группы GM-0003 (серия MX устройство)
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.103.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.103.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.103.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.103.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Пошаговая процедура
Настройка члена группы VPNv2:
Настройте интерфейсы.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.103.1/24 user@host# set ms-0/2/0 unit 0 family inet
Настройте маршрут.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.103.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.103.254
Настройте IKE, политику и шлюз.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.103.1
Настройте SA IPsec.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Настройте фильтр службы.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.100.1/32 user@host# set term inbound-ks from source-address 10.10.100.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.10.100.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Настройте набор служб.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow routing-options команд и show securityshow servicesshow firewall команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.103.254;
route 10.18.102.0/24 next-hop 10.18.103.254;
route 10.18.104.0/24 next-hop 10.18.103.254;
route 172.16.101.0/24 next-hop 10.18.103.254;
route 172.16.102.0/24 next-hop 10.18.103.254;
route 172.16.103.0/24 next-hop 10.18.103.254;
route 172.16.104.0/24 next-hop 10.18.103.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.103.1;
server-address 10.10.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.10.100.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Настройка члена группы GM-0004 (серия MX устройство)
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.104.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.104.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.104.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy SubSrv mode main set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway SubSrv ike-policy SubSrv set security group-vpn member ike gateway SubSrv server-address 10.17.101.1 set security group-vpn member ike gateway SubSrv server-address 10.17.102.1 set security group-vpn member ike gateway SubSrv server-address 10.17.103.1 set security group-vpn member ike gateway SubSrv server-address 10.17.104.1 set security group-vpn member ike gateway SubSrv local-address 10.18.104.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.101.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.102.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.103.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.104.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Пошаговая процедура
Настройка члена группы VPNv2:
Настройте интерфейсы.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.104.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.104.1/24 user@host# set ms-0/2/0 unit 0 family inet
Настройте маршрут.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.104.254
Настройте IKE, политику и шлюз.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.104.1
Настройте SA IPsec.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Настройте фильтр службы.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.101.1/32 user@host# set term inbound-ks from source-address 10.10.101.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.17.101.1/32 user@host# set term outbound-ks from destination-address 10.17.102.1/32 user@host# set term outbound-ks from destination-address 10.17.103.1/32 user@host# set term outbound-ks from destination-address 10.17.104.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Настройте набор служб.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow routing-options команд и show securityshow servicesshow firewall команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.104.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.104.254;
route 10.18.102.0/24 next-hop 10.18.104.254;
route 10.18.103.0/24 next-hop 10.18.104.254;
route 172.16.101.0/24 next-hop 10.18.104.254;
route 172.16.102.0/24 next-hop 10.18.104.254;
route 172.16.103.0/24 next-hop 10.18.104.254;
route 172.16.104.0/24 next-hop 10.18.104.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.104.1;
server-address 10.17.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Проверки
Подтвердим, что конфигурация работает правильно.
- Проверка регистрации члена группы
- Проверка распределенного распространения групповых ключей
- Проверка групп VPN SAs на групповом сервере
- Проверка групп VPN SAS на членах группы
- Проверка IPsec SAs на групповом сервере
- Проверка IPsec SAs на членах группы
- Проверка групповых политик (SRX или vSRX группы только)
Проверка регистрации члена группы
Цель
Убедитесь, что члены группы зарегистрированы на сервере.
Действий
В рабочем режиме введите show security group-vpn server registered-members команды и команды на show security group-vpn server registered-members detail сервере.
user@host> show security group-vpn server registered-members Group: GROUP_ID-0001, Group Id: 1 Total number of registered members: 2 Member Gateway Member IP Last Update Vsys GM-0001 10.18.101.1 Thu Nov 19 2015 16:31:09 root GM-0003 10.18.103.1 Thu Nov 19 2015 16:29:47 root
user@host> show security group-vpn server registered-members detail
GGroup: GROUP_ID-0001, Group Id: 1
Total number of registered members: 2
Member gateway: GM-0001, Member IP: 10.18.101.1, Vsys: root
Last Update: Thu Nov 19 2015 16:31:09
Stats:
Pull Succeeded : 2
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Member gateway: GM-0003, Member IP: 10.18.103.1, Vsys: root
Last Update: Thu Nov 19 2015 16:29:47
Stats:
Pull Succeeded : 1
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Проверка распределенного распространения групповых ключей
Цель
Убедитесь, что групповые ключи распределены между участниками.
Действий
В режиме эксплуатации show security group-vpn server statistics введите команду на групповом сервере.
user@host> show security group-vpn server statistics
Group: GROUP_ID-0001, Group Id: 1
Stats:
Pull Succeeded : 4
Pull Failed : 0
Pull Exceed Member Threshold : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Проверка групп VPN SAs на групповом сервере
Цель
Проверьте group VPN SAs на групповом сервере.
Действий
В рабочем режиме введите show security group-vpn server kek security-associations и show security group-vpn server kek security-associations detail введите команды на групповом сервере.
user@host> show security group-vpn server kek security-associations Index Life:sec Initiator cookie Responder cookie GroupId 738879 1206 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn server kek security-associations detail Index 738879, Group Name: GROUP_ID-0001, Group Id: 1 Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64 Authentication method: RSA Lifetime: Expires in 1204 seconds, Activated Rekey in 694 seconds Algorithms: Sig-hash : sha256 Encryption : aes256-cbc Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Server Member Communication: Unicast Retransmission Period: 10, Number of Retransmissions: 2 Group Key Push sequence number: 0 PUSH negotiations in progress: 0
Проверка групп VPN SAS на членах группы
Цель
Проверка групп VPN SAs на членах группы.
Действий
В рабочем режиме введите show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail и введите команды на SRX или vSRX группы.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 5455810 10.10.100.1 1093 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 5455810, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 1090 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
В рабочем режиме show security group-vpn member kek security-associations введите и введите команды show security group-vpn member kek security-associations detail серия MX группы.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 488598 10.10.100.1 963 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 488598, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 961 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Проверка IPsec SAs на групповом сервере
Цель
Проверьте SAs IPsec на групповом сервере.
Действий
В рабочем режиме введите show security group-vpn server ipsec security-associations и show security group-vpn server ipsec security-associations detail введите команды на групповом сервере.
user@host> show security group-vpn server ipsec security-associations Group: GROUP_ID-0001, Group Id: 1 Total IPsec SAs: 1 IPsec SA Algorithm SPI Lifetime GROUP_ID-0001 ESP:aes-256/sha256 1c548e4e 1156
user@host> show security group-vpn server ipsec security-associations detail
Group: GROUP_ID-0001, Group Id: 1
Total IPsec SAs: 1
IPsec SA: GROUP_ID-0001
Protocol: ESP, Authentication: sha256, Encryption: aes-256
Anti-replay: D3P enabled
SPI: 1c548e4e
Lifetime: Expires in 1152 seconds, Activated
Rekey in 642 seconds
Policy Name: 1
Source: 172.16.0.0/12
Destination: 172.16.0.0/12
Source Port: 0
Destination Port: 0
Protocol: 0
Проверка IPsec SAs на членах группы
Цель
Проверьте, являются ли IPsec SAs на членах группы.
Действий
В рабочем режиме введите show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail и введите команды на SRX или vSRX группы.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>49152 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 1073/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Group Id: 1
Routing Instance: default
Recovery Probe: Enabled
DF-bit: clear
Stats:
Pull Succeeded : 4
Pull Failed : 3
Pull Timeout : 3
Pull Aborted : 0
Push Succeeded : 6
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 49152
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 1070 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 931 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
В рабочем режиме show security group-vpn member ipsec security-associations введите и введите команды show security group-vpn member ipsec security-associations detail серия MX группы.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>10001 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 947/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1400
Routing Instance: default
DF-bit: clear
Stats:
Pull Succeeded : 2
Pull Failed : 0
Pull Timeout : 1
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(1): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 10001
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 945 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 840 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Проверка групповых политик (SRX или vSRX группы только)
Цель
Проверьте групповые политики на SRX или vSRX группы.
Действий
В рабочем режиме show security group-vpn member policy введите команду в члене группы.
user@host> show security group-vpn member policy Group VPN Name: GROUP_ID-0001, Group Id: 1 From-zone: LAN, To-zone: WAN Tunnel-id: 49152, Policy type: Secure Source : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Tunnel-id: 63488, Policy type: Fail-close Source : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0>
Примере: Настройка связи между серверами и членами группы VPNv2 для одноастных сообщений повторной передачи
В этом примере показано, как позволить серверу отправлять одноафровую перенаправляемую сообщения членам группы, чтобы убедиться, что доступны допустимые ключи для шифрования трафика между участниками группы. Группа VPNv2 поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 и SRX4600 и vSRX экземплярах.
Требования
Перед началом работы:
Настройте сервер и члены группы для IKE фазы 1.
Настройте сервер группы и членов для SA IPsec.
Настройте группу
g1на групповом сервере.
Обзор
В данном примере для группы заданы следующие параметры связи между сервером и g1 сервером:
Сервер отправляет однонаправные сообщения о повторном нажатии на себя членам группы.
aes-128-cbc используется для шифрования трафика между сервером и участниками.
Sha-256 используется для аутентификации членов группы.
Значения по умолчанию используются для срока действия KEK и повторной передачи.
Конфигурации
Процедуры
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.
Настройка взаимодействия между серверами:
Заведите тип связи.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Установите алгоритм шифрования.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm aes-128-cbc
Установите аутентификацию участника.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha-256
Проверки
Чтобы проверить правильность работы конфигурации, введите show security group-vpn server group g1 server-member-communication команду.