Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор конфигурации IPsec VPN

VPN-подключение может связывать две LAN (vpn между узлами) или удаленного пользователя удаленного доступа и ЛВС. Трафик, который идет между этими двумя точками, проходит через общие ресурсы, такие как маршрутизаторы, коммутаторы и другое сетевое оборудование, издавна сеть общего WAN. Для обеспечения безопасности VPN-соединения между двумя устройствами-участниками создается туннель IPsec.

Обзор настройки IPsec VPN с IKE автоматической настройкой

Согласование IPsec VPN происходит в два этапа. На 1-м этапе участники устанавливают защищенный канал, по которому согласовываться ассоциация безопасности IPsec (SA). На втором этапе участники согласовывать sa IPsec для аутентификации трафика, который будет проходить через туннель.

В этом обзоре описаны основные этапы настройки сети IPsec VPN на основе маршрутов или на основе политик с помощью IKE (предварительные ключи или сертификаты).

Чтобы настроить IPsec VPN на основе маршрутов или на основе политик, используя IKE:

  1. Настройте интерфейсы, зоны безопасности и информацию адресной книги.

    (Для VPN на основе маршрутов) Настройте безопасный туннель st0.x interface. Настройка маршрутов на устройстве.

  2. Настройка фазы 1 туннеля IPsec VPN.
    1. (Необязательно) Настройте собственное предложение IKE фазе 1. Этот шаг необязателен, так как можно использовать заранее заранее задав IKE фазы 1 (Стандартный, Совместимый или Базовый).
    2. Настройте политику IKE, которая будет ссылаться на собственное предложение IKE фазы 1 или заранее IKE набора предложений фазы 1. Укажите автоматическое нажатие IKE предварительный ключ или сведения о сертификате. Укажите режим (основной или агрессивный) для обмена данными фазы 1.
    3. Настройте шлюз IKE, который ссылается на IKE политики. Укажите IKE локальных и удаленных устройств. Если IP-адрес удаленного шлюза неизвестна, укажите, как должен быть идентифицирован удаленный шлюз.
  3. Настройка фазы 2 туннеля IPsec VPN.
    1. (Необязательно) Настройте собственное предложение IPsec фазы 2. Этот шаг необязателен, так как можно использовать заранее задавленный набор предложений IPsec фазы 2 (Стандартный, Совместимый или Основной).
    2. Настройте политику IPsec, которая будет ссылаться на собственное предложение фазы 2 IPsec или предопределенный набор предложений IPsec на 2-м этапе. Укажите совершенные ключи секретности forward secrecy (PFS).
    3. Настройте VPN-туннель IPsec, который будет ссылаться как на IKE шлюз, так и на политику IPsec. Укажите ID прокси, которые будут использоваться при согласовании фазы 2.

      (Для VPN на основе маршрутов) Свяжите безопасный туннельный интерфейс st0.x с туннелем IPsec VPN.

  4. Настройте политику безопасности для разрешения трафика из зоны-источника в зону назначения.

    (Для VPN на основе политик) Укажите действие политики безопасности с именем настроенного tunnel ipsec-vpn туннеля IPsec VPN.

  5. Обновите свои глобальные настройки VPN.

Обзор настройки IPsec VPN с ручным ключом

В этом обзоре описаны основные этапы настройки сети IPsec VPN на основе маршрутов или политик, используя ключи вручную.

Настройка СЕТИ IPsec VPN на основе маршрутов или политик с помощью ручных ключей:

  1. Настройте интерфейсы, зоны безопасности и информацию адресной книги.

    (Для VPN на основе маршрутов) Настройте маршрут. Настройте безопасный туннель st0.x interface.

  2. Настройте VPN-туннель IPsec, указав следующие параметры:
    • Алгоритм и ключ аутентификации

    • Алгоритм и ключ шифрования

    • Исходяющий интерфейс

    • IP-адрес одноранговых узла

    • Протокол IPsec для ассоциации безопасности

    • Индекс параметра безопасности

    (Для VPN на основе маршрутов) Свяжите безопасный туннельный интерфейс st0.x с туннелем IPsec VPN.

  3. Настройте политику безопасности для разрешения трафика из зоны источника в зону назначения.

    (Для VPN на основе политик) Укажите действие политики безопасности с именем настроенного tunnel ipsec-vpn туннеля IPsec VPN.

Понимание VPN IPsec с динамическими конечными точками

Обзор

Одноранговой узла IPsec VPN может иметь IP-адрес, который неизвестна равноправным узлам, с которыми оно устанавливает VPN-соединение. Например, одноранговая точка может динамически назлать IP-адрес с помощью протокола динамической настройки хоста (DHCP). Это может иметь место в случае клиента удаленного доступа в филиале, домашнем офисе или мобильном устройстве, перемещаемом между различными физическими местоположениями. Или можно расположить одноранговую ось за NAT, которое преобразует исходный IP-адрес узла в другой адрес. Одноранговая точка VPN с неизвестным IP-адресом называется динамической конечной точкой, а VPN, установленной с динамической конечной точкой, называется динамической конечной точкой VPN.

На серия SRX поддерживаются динамические VPN конечных точек IKEv1 или IKEv2. Динамические VPN-сети конечных серия SRX поддерживают трафик IPv4 в безопасных туннелях. Начиная с Junos OS выпуска 15.1X49-D80, динамические VPN конечных точек на серия SRX устройства поддерживают трафик IPv6 на безопасных туннелях.

Трафик IPv6 не поддерживается сетями AutoVPN.

В следующих разделах описываются элементы, которые следует отметить при настройке VPN с динамической конечной точкой.

IKE идентификации

На динамической конечной точке необходимо IKE, чтобы устройство идентифицирулось с одноранговой точкой. Локализованная идентификация динамической конечной точки проверяется на одноранговом одноранговом узлах. По умолчанию серия SRX ожидает, что IKE идентификатор будет одним из следующих:

  • При используется сертификат, отличительное имя (DN) может быть использовано для идентификации пользователей или организации.

  • Имя хоста или полное доменное имя (FQDN), которое идентифицирует оконечную точку.

  • Полное имя домена (UFQDN), также известное как user-at-hostname. Это строка, следуя формату адреса электронной почты.

Агрессивный режим для политики IKEv1

Если IKEv1 используется в VPN с динамическими конечными точками, политика IKE должна быть настроена на агрессивный режим. IKEv2 не использует агрессивный режим, поэтому можно настроить основной или агрессивный режим при использовании IKEv2 с динамическими VPN конечными точками.

IKE политики и внешние интерфейсы

Начиная с Junos OS выпуска 12.3X48-D40, Junos OS release 15.1X49-D70 и Junos OS release 17.3R1, все динамические шлюзы конечных точек, настроенные на серия SRX устройствах, которые используют один внешний интерфейс, могут использовать различные IKE политики, но политики IKE должны использовать то же IKE предложение. Это применимо к IKEv1 и IKEv2.

NAT

Если динамическая конечная точка находится за NAT устройством, NAT-T должно быть настроено на серия SRX устройстве. NAT может потребоваться сохранение трансляции NAT во время соединения между равноправными узлами VPN. По умолчанию NAT-T включен на серия SRX и NAT keepalives отправляются с интервалами в 20 секунд.

Групповые и общие IKE ID

Можно настроить отдельный VPN-туннель для каждой динамической конечной точки. Для VPN-сети VPN с динамическими оконечнами точками IPv4 можно использовать групповые IKE или общие IKE ID, чтобы позволить ряду динамических конечных точек совместно использовать конфигурацию IKE шлюза.

ID IKE группы позволяет определить общую часть полного IKE для всех динамических конечных точек, например "example.net". Пользовательская часть, например имя пользователя "+", соединенная с общей частью, формирует полный идентификатор IKE (Bob.example.net), который уникально идентифицирует каждое пользовательское соединение.

Общий IKE позволяет динамическим конечным точкам использовать один IKE и предварительный ключ.

О IKE идентификации

Идентификация IKE (IKE ID) используется для проверки одноранговых устройств VPN во время IKE согласования. ID IKE, полученный устройством от серия SRX удаленного узла, может быть адресом IPv4 или IPv6, именем хоста, полное доменное имя (FQDN), пользователем FQDN (UFQDN) или отличительным именем (DN). ID IKE удаленного узла должен соответствовать ожидаемому устройству серия SRX. В противном IKE не будет проверки ID и VPN не будет установлен.

IKE ID Types

Устройства серия SRX поддерживают следующие типы идентификаторов IKE для удаленных одноранговых устройств:

  • Адрес IPv4 или IPv6 обычно используется с VPN-адресами между узлами, где удаленный одноранговой узел имеет статический IP-адрес.

  • Имя хоста – это строка, идентифицирующая систему удаленного одноранговых одноранговых узла. Это может быть FQDN, которое обращается к IP-адресу. Это также может быть частичная FQDN, которая используется вместе с типом IKE пользователя для идентификации конкретного удаленного пользователя.

    Если вместо IP-адреса настроено имя хоста, то конфигурированная конфигурация и последующее создание туннеля основаны на разрешенных в настоящее время IP-адресах. Если IP-адрес удаленного узла изменяется, конфигурация не действует.

  • UFQDN – это строка, которая следует такому же формату, как адрес электронной почты, user@example.com например.

  • DN – это имя, используемое с цифровыми сертификатами для уникальной идентификации пользователя. Например, DN может быть "CN=user, DC=example, DC=com". Дополнительно можно использовать ключевое слово, чтобы указать, что порядок полей в DN и их значения точно совпадают с настроенным DN или используйте ключевое слово, чтобы указать, что значения полей в DN должны совпадать, но порядок полей не имеет containerwildcard значения.

    Начиная с Junos OS выпуска 19.4R1, теперь можно настроить только один динамический атрибут DN как в иерархии, так и container-stringwildcard-string в [edit security ike gateway gateway_name dynamic distinguished-name] иерархии. При попытке настройки второго атрибута после настройки первого атрибута первый атрибут заменяется вторым атрибутом. Перед обновлением устройства необходимо удалить один из атрибутов, если оба атрибута настроены.

  • Тип IKE можно использовать с VPN-сетью (AutoVPN) и VPN удаленного доступа, если на устройстве на серия SRX подключено несколько удаленных одноранговых серия SRX. Настройте на указание ID IKE группы или общий ike-user-type group-ike-idike-user-type shared-ike-id IKE ID.

Удаленные IKE ИД и VPN между узлами

Для VPN-сетей, удаленных IKE узла, может быть IP-адресом 2-ой сетевой интерфейсной карты, адресом обратной петли, или иным образом сетевого узла или IKE вручную, в зависимости от конфигурации одноранговых устройств.

По умолчанию серия SRX устройства ожидают, что IKE удаленного IKE будет IP-адресом, настроенным в set security ike gateway gateway-name address конфигурации. Если идентификационный IKE удаленного узла отличается от значения, необходимо настроить утверждение на уровне remote-identityedit security ike gateway gateway-name [] иерархии.

Например, IKE шлюз на серия SRX устройства настроен с помощью set security ike gateway remote-gateway address 203.0.113.1 команды. Однако удаленный IKE отправляется удаленным однорангом. host.example.net Существует несоответствие между тем, что ожидает серия SRX для ID удаленного IKE узла (203.0.113.1) и действительным IKE () отправленным одноранговой host.example.net узла. В этом случае IKE Сбой проверки ID. Используйте эту set security ike gateway remote-gateway remote-identity hostname host.example.net возможность для IKE ID, полученного от удаленного одноранговых узла.

ID удаленного IKE и динамические VPN-сети конечных точек

Для VPN динамических оконечных точек ожидаемый ID удаленного IKE настраивается с настройками на уровне edit security ike gateway gateway-name dynamic иерархии [] Для AutoVPN в сочетании с может использоваться, когда есть несколько одноранговых узла hostnameike-user-type group-ike-id с общим именем домена. Если для проверки одноранговых узла используются сертификаты, можно настроить DN.

Локальный IKE ID серия SRX устройства

По умолчанию серия SRX использует IP-адрес внешнего интерфейса для удаленного одноранговых IKE ID. Этот IKE может быть переопределен путем настройки утверждения на local-identity уровне edit security ike gateway gateway-name [] иерархии. Если требуется настроить утверждение на серия SRX, убедитесь, что настроенный ID IKE совпадает с IKE, ожидаемым удаленным local-identity однорангом.

Настройка удаленных IKE для VPN, устанавливаемых между узлами

По умолчанию серия SRX устройства подтверждают IKE, полученный от одноранговых узла, с IP-адресом, настроенным для IKE шлюза. В определенных настройках сети IKE, полученный от узла (который может быть адресом IPv4 или IPv6, полное доменное имя [FQDN], отличительное имя или адрес электронной почты) не соответствует IKE шлюзу, настроенному на серия SRX. Это может привести к сбою проверки в фазе 1.

Для изменения конфигурации используемого серия SRX или равноправного устройства для используемого IKE ID:

  • На устройстве серия SRX настройте утверждение на уровне [] иерархии, чтобы соответствовать IKE, полученному remote-identityedit security ike gateway gateway-name от одноранговых узла. Значения могут быть адресом IPv4 или IPv6, FQDN, отличимым именем или адресом электронной почты.

    Если конфигурация не будет настроена, устройство по умолчанию использует remote-identity адрес IPv4 или IPv6, соответствующий удаленному одноранговому адресу.

  • На одноранговом устройстве убедитесь, что IKE ИД того же, что и настроенный на серия SRX remote-identity устройстве. Если одноранговая группа является серия SRX, настройте утверждение на local-identity уровне edit security ike gateway gateway-name [] иерархии. Значения могут быть адресом IPv4 или IPv6, FQDN, отличимым именем или адресом электронной почты.

Понимание OSPF аутентификации и OSPFv3 на серия SRX устройств

У OSPFv3 нет встроенного метода аутентификации, поэтому эта функция обеспечивается пакетом IP Security (IPsec). IPsec обеспечивает аутентификацию источника, целостность данных, конфиденциальность, защиту от повторного воспроизведения и нерезиденцию источника. Можно использовать IPsec для защиты определенных интерфейсов OSPFv3 и виртуальных линий связи, а также для шифрования OSPF пакетов.

OSPFv3 использует заглавную часть аутентификации IP (AH) и IP-инкапсуляцию безопасности полезная нагрузка (ESP) протокола IPsec для аутентификации сведений о маршрутизации между равноправными узлами. AH может обеспечить целостность соединения и аутентификацию источника данных. Он также обеспечивает защиту от повторов. AH аутентификация как можно большей части IP-заголовка, а также данных протокола верхнего уровня. Однако некоторые поля IP-загона могут меняться при транзитном транзите. Так как значение этих полей может быть не предсказуемо отправительным, они не могут быть защищены AH. ESP может обеспечить конфиденциальность шифрования и ограниченный поток трафика, целостность без подключения, аутентификацию источника данных и службу защиты от повторного воспроизведения.

В основе IPsec лежит ассоциация безопасности (SAS). SA – это набор спецификаций IPsec, согласующихся между устройствами, устанавливаями связь IPsec. Это простое соединение обеспечивает службы безопасности для пакетов, донося SA. Эти спецификации включают предпочтения для типа аутентификации, шифрования и протокола IPsec, который будет использоваться при установлении соединения IPsec. SA используется для шифрования и аутентификации определенного потока в одном направлении. Таким образом, при обычном двухнаправленном трафике потоки защищены парой SAS. SA, который будет использоваться в OSPFv3, необходимо настраивать вручную и использовать транспортный режим. Статические значения должны быть настроены на обоих концах SA.

Чтобы настроить IPsec для OSPF или OSPFv3, сначала определите вручную SA с параметром на уровне security-association sa-nameedit security ipsec [] иерархии. Эта функция поддерживает только однонаправленные вручную SAS в транспортном режиме. Ручное согласование безопасности между равноправными узлами не требуется. Все значения, включая ключи, являются статическими и заданы в конфигурации. Вручную SAs статически определяют значения индекса параметров безопасности (SPI), алгоритмы и ключи, которые необходимо использовать, и требуют настройки совпадения на обоих конечных точках (OSPF или НА одноранговых узлах OSPFv3). В результате у каждого узла должны быть одинаковые настроенные параметры для взаимодействия.

Фактический выбор алгоритмов шифрования и аутентификации остается за администратором IPsec; однако у нас есть следующие рекомендации:

  • Используйте ESP с нуль-шифрованием, чтобы обеспечить аутентификацию для заглавныхдер протоколов, но не в загон IPv6, заглавных расширениях и параметрах. При null-шифровании вы выбираете не предоставлять шифрование на заглавных устройствах протокола. Это может быть полезно для устранения неполадок и отладки. Дополнительные сведения о "нуль-шифровании" см. в "RFC 2410", "Алгоритм NULL-шифрования и его использование с IPsec".

  • Используйте ESP с DES или 3DES для полной конфиденциальности.

  • Используйте AH для аутентификации в заглавных полях протокола, неоменяемых полях в полях IPv6, а также в заглавных полях и параметрах расширения.

Сконфигурированная SA применяется к конфигурациям OSPF ИЛИ OSPFv3 следующим образом:

  • Для интерфейса OSPF OSPFv3, включив в него утверждение на уровне [] или ipsec-sa nameedit protocols ospf area area-id interface interface-nameedit protocols ospf3 area area-id interface interface-name [] иерархии. Для интерфейса OSPF OSPFv3 можно увести только одно имя SA IPsec; однако различные OSPF/OSPFv3 интерфейсы могут указывать одинаковые SA IPsec.

  • Для виртуального OSPF OSPFv3 включим утверждение на уровне [] или ipsec-sa nameedit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-idedit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id [] иерархии. Необходимо настроить одинаковые SA IPsec для всех виртуальных ссылок с одинаковым удаленным адресом конечной точки.

Следующие ограничения применимы к аутентификации IPsec для OSPF или OSPFv3 на серия SRX устройствах:

  • Конфигурации VPN вручную, настроенные на уровне [] иерархии, не могут быть применены к интерфейсам OSPF, OSPFv3 или виртуальным соединениям для обеспечения аутентификации и конфиденциальности edit security ipsec vpn vpn-name manual IPsec.

  • Нельзя настроить IPsec для аутентификации OSPF или OSPFv3, если на устройстве имеется существующий VPN IPsec с одинаковыми локальными и удаленными адресами.

  • Аутентификация IPsec OSPF или OSPFv3 не поддерживается на безопасных интерфейсах туннеля st0.

  • Повторное нажатие клавиш вручную не поддерживается.

  • Динамические Internet Key Exchange (IKE) SAS не поддерживаются.

  • Поддерживается только транспортный режим IPsec. В транспортном режиме шифруется, аутентификация или оба пакета только для полезной нагрузки (данные, которые вы передаете). Туннельный режим не поддерживается.

  • Так как поддерживаются только однонаправленные sa вручную, все однорангии OSPFv3 должны быть настроены с помощью одного и того же SA IPsec. Настраивается ручная диверсивная SA на уровне edit security ipsec иерархии []

  • Необходимо настроить одинаковые SA IPsec для всех виртуальных ссылок с одинаковым удаленным адресом конечной точки.

Примере: Настройка аутентификации IPsec для интерфейса OSPF на устройстве серия SRX

В этом примере показано, как настраивать и применять ручное ассоциация безопасности (SA) к OSPF интерфейсу.

Требования

Перед началом работы:

  • Настройте интерфейсы устройств.

  • Настройте идентификаторы маршрутизатора для устройств в OSPF сети.

  • Контроль OSPF назначенного маршрутизатора.

  • Настройте единую OSPF сеть.

  • Настройте сеть с несколькими OSPF сети.

Обзор

Аутентификацию IPsec можно использовать как для OSPF, так и для OSPFv3. SA настраивается вручную и применяется к соответствующей OSPF конфигурации. Табл. 3 перечисляет параметры и значения, настроенные для ручной SA в этом примере.

Табл. 3: Ручная аутентификация SA OSPF IPsec

Параметр

Значение

Sa name (Имя SA)

sa1

Режим

Транспорта

Направление

Двунаправленный

Протокол

AH

Spi

256

Алгоритм аутентификации

Ключ

hmac-md5-96

(ASCII) 123456789012abc

Алгоритм шифрования

Ключ

Des

(ASCII) cba210987654321

Конфигурации

Настройка ручной SA

интерфейс командной строки быстрой конфигурации

Для быстрой настройки ручного SA, который будет использоваться для аутентификации IPsec на OSPF интерфейсе, скопируйте следующие команды, введите их в текстовый файл, удалите любые разрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на уровне [] иерархии, а затем войдите из режима editcommit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка ручного SA:

  1. Укажите имя SA.

  2. Укажите режим ручной SA.

  3. Настройте направление ручного SA.

  4. Настройте протокол IPsec для использования.

  5. Настройте значение SPI.

  6. Настройте алгоритм и ключ аутентификации.

  7. Настройте алгоритм и ключ шифрования.

Результаты

Подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки пароля пароль не будет отсве ным. Выходные данные отображают зашифрованую форму настроенного пароля.

После настройки устройства войдите в commit режим конфигурации.

Включение аутентификации IPsec для OSPF интерфейса

интерфейс командной строки быстрой конфигурации

Для быстрого применения ручной SA, используемой для аутентификации IPsec на OSPF, скопируйте следующую команду, введите ее в текстовый файл, измените все данные, необходимые для настройки сети, скопируйте и введите команду в интерфейс командной строки на [] иерархии, а затем войдите в режим editcommit конфигурации.

Пошаговая процедура

Чтобы включить аутентификацию IPsec для OSPF интерфейса:

  1. Создайте OSPF области.

    Чтобы указать OSPFv3, включим в него утверждение ospf3 на [edit protocols] иерархическом уровне.

  2. Укажите интерфейс.

  3. Применим sa IPsec вручную.

Результаты

Подтвердите конфигурацию, введите show ospf interface detail команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

Для подтверждения конфигурации OSPFv3 введите show protocols ospf3 команду.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка параметров IPsec Security Association

Цель

Проверьте настроенные параметры ассоциации безопасности IPsec. Проверьте следующую информацию:

  • В поле Security Association отображается имя настроенного ассоциации безопасности.

  • В поле SPI отображается настроенное значение.

  • В поле Mode отображается транспортный режим.

  • В поле Type (Тип) отображается ручное руководство в качестве типа ассоциации безопасности.

Действий

В рабочем режиме введите show ospf interface detail команду.

Проверка ассоциации безопасности IPsec на OSPF интерфейсе

Цель

Убедитесь, что настроенная ассоциация безопасности IPsec применена к OSPF интерфейсу. Подтвердим, что в поле IPsec SA name отображается имя настроенного ассоциации безопасности IPsec.

Действий

В рабочем режиме введите команду for OSPF и для show ospf interface detailshow ospf3 interface detail OSPFv3.

Настройка IPsec VPN с помощью мастера VPN

С помощью мастера VPN можно выполнить базовую настройку IPsec VPN, включая фазы 1 и 2. Для более подробной настройки используйте интерфейс J-Web или интерфейс командной строки. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

Настройка IPsec VPN с помощью мастера VPN:

  1. Выберите Configure>Device Setup>VPN в интерфейсе J-Web.
  2. Нажмите кнопку Launch VPN Wizard.
  3. Следуйте подсказкам мастера.

В левой верхней части страницы мастера показано, в чем находится процесс настройки. В левой нижней части страницы показана справка, чувствительная к полю. При нажатии ссылки под заголовком Resources (Ресурсы) в браузере открывается документ. Если документ откроется на новой вкладке, убедитесь, что при закрытии документа должна быть закрыта только вкладка (а не окно браузера).

Примере: Настройка сети VPN на центральном и о коммитаторе

В данном примере показано, как настроить концентраторно-оая VPN IPsec для развертывания корпоративного класса.

Требования

В данном примере используется следующее оборудование:

  • SRX240

  • SRX5800 устройство

  • Устройство SSG140

Перед началом прочитайте Обзор IPsec .

Обзор

В данном примере описывается настройка сети VPN с концентратором и осям, обычно устанавливаемой в филиалах. Концентратор является корпоративным офисом, и есть два офиса в г. Саннивейл, Калифорния, и филиал в г. Весвейд, что в г. Саннивейл, что является филиалом в г. Весвейд. Пользователи в филиалах будут использовать VPN для защищенной передачи данных в корпоративном офисе.

Рис. 1 показывает пример топологии сети VPN с топологией "концентратор-о". В данной топологии SRX5800 устройство находится в корпоративном офисе. Устройство серия SRX расположено в филиале "Вестибюль", а устройство SSG140 - в филиале Sunnyvale.

Рис. 1: Топология сети VPN с топологией «концентратор-оТопология сети VPN с топологией «концентратор-о

В данном примере настраивается концентратор корпоративной сети, spoke -устройство Westа и spoke Sunnyvale. Сначала необходимо настроить интерфейсы, статические и стандартные маршруты IPv4, зоны безопасности и адресные книги. Затем настраивается IKE фазе 1 и фазе 2 IPsec и связывается интерфейс st0.0 с VPN IPsec. На концентраторе необходимо настроить st0.0 для многоточки и добавить статическую запись таблицы NHTB для оконечного узла Sunnyvale. Наконец, настройте политику безопасности и параметры TCP-MSS. См. Табл. 4Табл. 8 конкретные параметры конфигурации, используемые в данном примере.

Табл. 4: Сведения об интерфейсе, зоне безопасности и адресной книге

Концентратор или о spoke

Возможность

Имя

Параметры конфигурации

Концентратор

Интерфейсы

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

Говорил

Интерфейсы

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

Концентратор

Зоны безопасности

Доверять

  • Все системные службы разрешены.

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

   

неторгуемая

  • IKE – единственная разрешенная системная служба.

  • Интерфейс ge-0/0/3.0 привязан к этой зоне.

   

Vpn

Интерфейс st0.0 привязан к этой зоне.

Говорил

Зоны безопасности

Доверять

  • Все системные службы разрешены.

  • Интерфейс ge-0/0/3.0 привязан к этой зоне.

   

неторгуемая

  • IKE – единственная разрешенная системная служба.

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

   

Vpn

Интерфейс st0.0 привязан к этой зоне.

Концентратор

Записи адресной книги

локализованная сеть

  • Этот адрес является адресной книгой зоны доверия.

  • Адрес для записи адресной книги - 192.168.10.0/24.

   

sunnyvale-net

  • Эта адресная книга является адресной книгой зоны VPN.

  • Адрес для записи адресной книги - 192.168.168.0/24.

   

вестибюл-сеть

  • Этот адрес является адресной книгой зоны VPN.

  • Адрес для записи адресной книги - 192.168.178.0/24.

Говорил

Записи адресной книги

локализованная сеть

  • Этот адрес является адресной книгой зоны доверия.

  • Адрес для этой записи адресной книги - 192.168.168.178.0/24.

   

corp-net

  • Этот адрес является адресной книгой зоны VPN.

  • Адрес для записи адресной книги - 192.168.10.0/24.

   

sunnyvale-net

  • Этот адрес является адресной книгой зоны VPN.

  • Адрес для записи адресной книги - 192.168.168.0/24.

Табл. 5: IKE фазы 1

Концентратор или о spoke

Возможность

Имя

Параметры конфигурации

Концентратор

Предложение

ike-phase1-proposal

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: sha1

  • Алгоритм шифрования: aes-128-cbc

 

Политики

ike-phase1-policy

  • Режим: Главной

  • Справочник по предложениям: ike-phase1-proposal

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

 

Шлюза

gw-west

  • IKE политики: ike-phase1-policy

  • Внешний интерфейс: ge-0/0/3.0

  • Адрес шлюза: 10.3.3.2

   

gw-sunnyvale

  • IKE политики: ike-phase1-policy

  • Внешний интерфейс: ge-0/0/3.0

  • Адрес шлюза: 10.2.2.2

Говорил

Предложение

ike-phase1-proposal

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: sha1

  • Алгоритм шифрования: aes-128-cbc

 

Политики

ike-phase1-policy

  • Режим: Главной

  • Справочник по предложениям: ike-phase1-proposal

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

 

Шлюза

gw-corporate

  • IKE политики: ike-phase1-policy

  • Внешний интерфейс: ge-0/0/0.0

  • Адрес шлюза: 10.1.1.2

Табл. 6: Параметры конфигурации фазы 2 IPsec

Концентратор или о spoke

Возможность

Имя

Параметры конфигурации

Концентратор

Предложение

ipsec-phase2-proposal

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-sha1-96

  • Алгоритм шифрования: aes-128-cbc

 

Политики

ipsec-phase2-policy

  • Справочник по предложениям: ipsec-phase2-proposal

  • Pfs: Группа Diffie-Hellman2

 

Vpn

VPN-sunnyvale

  • IKE шлюза: gw-sunnyvale

  • Справочник по политикам IPsec: ipsec-phase2-policy

  • Привязка к интерфейсу: st0.0

   

VPN-west

  • IKE шлюза: gw-west

  • Справочник по политикам IPsec: ipsec-phase2-policy

  • Привязка к интерфейсу: st0.0

Говорил

Предложение

ipsec-phase2-proposal

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-sha1-96

  • Алгоритм шифрования: aes-128-cbc

 

Политики

ipsec-phase2-policy

  • Справочник по предложениям: ipsec-phase2-proposal

  • Pfs: Группа Diffie-Hellman2

 

Vpn

VPN-корпоративная сеть

  • IKE шлюза: gw-corporate

  • Справочник по политикам IPsec: ipsec-phase2-policy

  • Привязка к интерфейсу: st0.0

Табл. 7: Параметры настройки политики безопасности

Концентратор или о spoke

Цель

Имя

Параметры конфигурации

Концентратор

Политика безопасности разрешает трафик из зоны доверия в vpn-зону.

локальные локальные органы

  • Критерии соответствия:

    • локализованная сеть с исходным адресом

    • destination-address sunnyvale-net

    • адрес назначения - "вести-сеть"

    • приложение any

 

Политика безопасности разрешает трафик из vpn-зоны в зону доверия.

онот-к-локальным

Критерии соответствия:

  • источник-адрес sunnyvale-net

  • адрес источника - "вести-сеть"

  • локализованная сеть с адресом назначения

  • приложение any

 

Политика безопасности разрешает внутризонный трафик.

осяк-го

Критерии соответствия:

  • исходный адрес any

  • адрес назначения any

  • приложение any

Говорил

Политика безопасности разрешает трафик из зоны доверия в vpn-зону.

в corp

  • Критерии соответствия:

    • локализованная сеть с исходным адресом

    • corp-net адреса назначения

    • destination-address sunnyvale-net

    • приложение any

 

Политика безопасности разрешает трафик из vpn-зоны в зону доверия.

from-corp

Критерии соответствия:

  • исходный адрес corp-net

  • источник-адрес sunnyvale-net

  • локализованная сеть с адресом назначения

  • приложение any

 

Политика безопасности разрешает трафик из недоверной зоны в зону доверия.

permit-any

Критерии соответствия:

  • исходный адрес any

  • источник-место назначения any

  • приложение any

  • Разрешить действие: интерфейс source-nat

    Указав, серия SRX транслирует IP-адрес и порт источника для исходя трафика, используя IP-адрес выходного интерфейса в качестве IP-адреса источника и случайный порт с высоким номером для порта source-nat interface источника.

Табл. 8: Параметры конфигурации TCP-MSS

Цель

Параметры конфигурации

TCC-MSS согласовываться как часть трехавтного TCP-связи и ограничивает максимальный размер сегмента TCP, чтобы лучше соответствовать MTU ограничениям в сети. Для трафика VPN накладные расходы на инкапсуляцию IPsec, а также накладные расходы на IP и кадр, могут привести к тому, что итоговый пакет ESP превышает MTU физического интерфейса, что вызывает фрагментацию. Фрагментация приводит к повышенному использованию ресурсов полосы пропускания и устройств.

Значение 1350 является рекомендуемой отправной точкой для большинства сетей на основе Ethernet с MTU 1500 и более. Для получения оптимальной производительности может потребоваться экспериментировать с различными значениями TCP-MSS. Например, может потребоваться изменить значение, если любое устройство на пути обладает более низким MTU или если имеются дополнительные накладные расходы, такие как PPP или Frame Relay.

Значение MSS: 1350

Конфигурации

Настройка базовой сети, зоны безопасности и адресной книги для концентратора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать основную сеть, зону безопасности и адресную книгу для концентратора:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Настройте неверную зону безопасности.

  4. Назначьте интерфейс недостоверной зоне безопасности.

  5. Указание разрешенных системных служб для недоверной зоны безопасности.

  6. Настройка зоны безопасности доверия.

  7. Назначьте интерфейс для зоны безопасности доверия.

  8. Указание разрешенных системных служб для зоны безопасности доверия.

  9. Создайте адресную книгу и прикрепляйте к ней зону.

  10. Настройте зону безопасности VPN.

  11. Назначьте интерфейс для зоны безопасности VPN.

  12. Создайте другую адресную книгу и прикрепляйте к ней зону.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zonesshow security address-book команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE для концентратора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка конфигурации IKE концентратора:

  1. Создайте предложение IKE фазе 1.

  2. Определите метод IKE предложения.

  3. Определите IKE группы Diffie-Hellman.

  4. Определите алгоритм IKE предложения.

  5. Определите алгоритм IKE предложения.

  6. Создайте политику IKE фазе 1.

  7. Установите режим IKE фазе 1.

  8. Укажите ссылку на предложение IKE.

  9. Определите метод IKE политики фазы 1.

  10. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  11. Определите опорный IKE политики фазы 1.

  12. Определите IKE шлюза фазы 1.

  13. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  14. Определите опорный IKE политики фазы 1.

  15. Определите IKE шлюза фазы 1.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec для концентратора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec для концентратора:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Создайте политику IPsec на 2-м этапе.

  6. Укажите справочник предложений IPsec фазы 2.

  7. Укажите IPsec Фаза 2 PFS, чтобы использовать группу 2 Diffie-Hellman.

  8. Укажите IKE шлюзов.

  9. Укажите политики фазы 2 IPsec.

  10. Укажите интерфейс для привязки.

  11. Настройте интерфейс st0 в качестве многоточки.

  12. Добавьте статические записи таблицы NHTB для офисов Sunnyvale и Westvale.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка политик безопасности для концентратора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности для концентратора:

  1. Создайте политику безопасности, чтобы разрешить трафик из зоны доверия в VPN-зону.

  2. Создайте политику безопасности для разрешения трафика из VPN-зоны в зону доверия.

  3. Создайте политику безопасности, чтобы разрешить внутризонный трафик.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security policies команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка TCP-MSS для концентратора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

Настройка информации TCP-MSS для концентратора:

  1. Настройка данных TCP-MSS.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security flow команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка основных сведений о сети, зоне безопасности и адресной книге для ока зоны Западной сети

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать основную сеть, зону безопасности и адресную книгу для окайма Западного канала:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Настройте неверную зону безопасности.

  4. Назначьте интерфейс зоне безопасности.

  5. Указание разрешенных системных служб для недоверной зоны безопасности.

  6. Настройка зоны безопасности доверия.

  7. Назначьте интерфейс для зоны безопасности доверия.

  8. Указание разрешенных системных служб для зоны безопасности доверия.

  9. Настройте зону безопасности VPN.

  10. Назначьте интерфейс для зоны безопасности VPN.

  11. Создайте адресную книгу и прикрепляйте к ней зону.

  12. Создайте другую адресную книгу и прикрепляйте к ней зону.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zonesshow security address-book команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE для ока Вестибюла

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы настроить конфигурацию IKE для ока Вестибюл:

  1. Создайте предложение IKE фазе 1.

  2. Определите метод IKE предложения.

  3. Определите IKE группы Diffie-Hellman.

  4. Определите алгоритм IKE предложения.

  5. Определите алгоритм IKE предложения.

  6. Создайте политику IKE фазе 1.

  7. Установите режим IKE фазе 1.

  8. Укажите ссылку на предложение IKE.

  9. Определите метод IKE политики фазы 1.

  10. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  11. Определите опорный IKE политики фазы 1.

  12. Определите IKE шлюза фазы 1.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec для оного Западного ока

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec для ока Западного тока:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Создайте политику IPsec на 2-м этапе.

  6. Укажите справочник предложений IPsec фазы 2.

  7. Укажите IPsec Фаза 2 PFS, чтобы использовать группу 2 Diffie-Hellman.

  8. Укажите IKE шлюза.

  9. Укажите политику IPsec на 2-м этапе.

  10. Укажите интерфейс для привязки.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка политик безопасности для осязания На западе

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности для осязаемых токов Западного ока:

  1. Создайте политику безопасности, чтобы разрешить трафик из зоны доверия в VPN-зону.

  2. Создайте политику безопасности для разрешения трафика из VPN-зоны в зону доверия.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security policies команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка TCP-MSS для оного Западного ока

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

Настройка TCP-MSS для ока Вестибюла:

  1. Настройка данных TCP-MSS.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security flow команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка окайма г. Саннивейл

интерфейс командной строки быстрой конфигурации

В данном примере серия SSG устройство для ока г. Саннивейл. Для справки представлена конфигурация серия SSG устройства. Сведения о настройке серия SSG см. в справочнике по концепции и примерам справочного руководства screenOS,расположенном на https://www.juniper.net/documentation.

Для быстрой настройки этого раздела примера, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit]commit конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE 1.

Действий

Перед началом процесса проверки необходимо отправить трафик с хоста сети 192.168.10/24 на хост в сетях 192.168.168/24 и 192.168.178/24 для создания туннелей. Для VPN на основе маршрутов можно отправлять трафик, инициированный серия SRX через туннель. Рекомендуется при тестировании туннелей IPsec посылать тестовый трафик с отдельного устройства на одной стороне VPN на второе устройство на другой стороне VPN. Например, инициировать ping с 192.168.10.10 по 192.168.168.10.

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Remote Address (Удаленный адрес) — проверьте правильность удаленного IP-адреса.

  • Штат

    • UP — sa фаза 1 установлена.

    • DOWN — создание sa фазы 1 возникла проблема.

  • Mode — убедитесь, что используется правильный режим.

Проверьте правильность следующих сведений в конфигурации:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations index 1 detail команда перечисляет дополнительную информацию о ассоциации безопасности с индексным номером 1:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Информация о роли инициатора и ответчика

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние фазы 2 IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Номер ID – 16385. Используйте это значение вместе show security ipsec security-associations index с командой, чтобы получить дополнительные сведения об этой конкретной SA.

  • Существует одна пара SA IPsec, использующая порт 500, что означает, что NAT-обход не реализован. (NAT-обход использует порт 4500 или другой случайный высоконоростной порт.)

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 28756/unlim означает, что срок действия фазы 2 истекает через 28756 секунд и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

В выходных данных show security ipsec security-associations index 16385 detail команды перечислены следующие сведения:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.

  • Другая распространенная причина сбоя второго этапа - не указание привязки интерфейса ST. Если IPsec не может завершиться, проверьте параметры журнала "kmd" или установите параметры трассировки.

Проверка связывания туннеля следующего перехода

Цель

После завершения фазы 2 для всех одноранговых узла проверьте привязки туннеля следующего перехода.

Действий

В рабочем режиме введите show security ipsec next-hop-tunnels команду.

Смысл

Шлюзы следующего узла являются IP-адресами для интерфейсов st0 всех удаленных одноранговых устройств. Следующий переход должен быть связан с правильным именем IPsec VPN. Если нет записи NHTB, то для устройства концентратора нет возможности различать, с какой IPsec VPN связан следующий переход.

Поле Flag имеет одно из следующих значений:

  • Static. NHTB был настроен вручную в конфигурации интерфейса st0.0, что необходимо, если одноранговая данная компания не серия SRX устройством.

  • Auto — NHTB не был настроен, но запись была автоматически заполнена таблицей NHTB во время согласования фазы 2 между двумя серия SRX устройствами

В данном примере нет таблицы NHTB ни для одного о spoke-сайта. С точки зрения оточки зрения, интерфейс st0 все еще является точкой-точкой связи и имеет только одну привязку IPsec VPN.

Проверка статических маршрутов для локальных зон удаленного узла

Цель

Убедитесь, что статический маршрут ссылается на IP-адрес st0 одноранговых орангов.

Действий

В рабочем режиме введите show route команду.

Следующий переход является IP-адресом st0 удаленного одноранговых узла, и оба маршрута указывают на st0.0 в качестве выходного интерфейса.

Просмотр статистики и ошибок для ассоциации безопасности IPsec

Цель

Просмотрите счетчики esp и аутентификации заглавныхдеров и ошибки для ассоциации безопасности IPsec.

Действий

В рабочем режиме введите show security ipsec statistics index команду.

Эту команду можно также использовать для просмотра статистики и show security ipsec statistics ошибок для всех SAS.

Для очистки всей статистики IPsec используйте clear security ipsec statistics эту команду.

Смысл

При проблемах потери пакетов в сети VPN можно выполнить команду или несколько раз, чтобы подтвердить, что счетчики зашифрованных и расшифровавающих пакетов только show security ipsec statisticsshow security ipsec statistics detail приращены. Следует также проверить, не приращены ли другие счетчики ошибок.

Проверка потока трафика через VPN

Цель

Проверьте поток трафика через VPN.

Действий

Эту команду можно использовать с самого серия SRX для проверки ping потока трафика на удаленный пк хоста. Убедитесь, что задавалось интерфейс источника, чтобы во время осмотра политики были указаны правильные зоны безопасности.

В рабочем режиме введите ping команду.

Эту команду также можно ping использовать с серия SSG устройства.

Смысл

Если команда не работает с серия SRX или серия SSG, то может возникнуть проблема с маршрутизацией, политиками безопасности, конечным хостом или шифрованием и расшифровки ping пакетов ESP.

Таблица истории выпусков
Версия
Описание
19.4R1
Начиная с Junos OS выпуска 19.4R1, теперь можно настроить только один динамический атрибут DN как в иерархии, так и container-stringwildcard-string в [edit security ike gateway gateway_name dynamic distinguished-name] иерархии. При попытке настройки второго атрибута после настройки первого атрибута первый атрибут заменяется вторым атрибутом. Перед обновлением устройства необходимо удалить один из атрибутов, если оба атрибута настроены.
15.1X49-D80
Начиная с Junos OS выпуска 15.1X49-D80, динамические VPN конечных точек на серия SRX устройства поддерживают трафик IPv6 на безопасных туннелях.
12.3X48-D40
Начиная с Junos OS выпуска 12.3X48-D40, Junos OS release 15.1X49-D70 и Junos OS release 17.3R1, все динамические шлюзы конечных точек, настроенные на серия SRX устройствах, которые используют один внешний интерфейс, могут использовать различные IKE политики, но политики IKE должны использовать то же IKE предложение.