Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec на основе политик

VPN на основе политик — это конфигурация, в которой туннель IPsec VPN, созданный между двумя конечными точками, определяется самой политикой с помощью действия политики для транзитного трафика, удовлетворяемого критериям соответствия политики.

Понимание VPN на основе политик IPsec

Для VPN, основанных на политике IPsec, политика безопасности определяет в качестве действия VPN-туннель, который будет использоваться для транзитного трафика, удовлетворяя критериям соответствия политики. VPN настраивается независимо от утверждения политики. Утверждение политики ссылается на VPN по имени для указания трафика, доступ к туннелю которого разрешен. Для VPN на основе политик каждая политика создает отдельное соединение безопасности IPsec (SA) с удаленным одноранговой стороной, каждая из которых считается отдельным VPN-туннелем. Например, если политика содержит адрес источника группы и адрес назначения группы, то каждый раз, когда один из пользователей, принадлежащих набору адресов, пытается связаться с любым из хостов, указанных в качестве адреса назначения, согласовывать и устанавливать новый туннель. Поскольку для каждого туннеля требуется собственный процесс согласования и отдельные пары SAS, использование VPN на основе политик IPsec может быть более ресурсоемким, чем VPN, основанные на маршруте.

Примеры использования VPN на основе политик:

  • Вы реализуете доступ к сети VPN, набираемой на телефоне.

  • VPN на основе политик позволяют направлять трафик на основе политик межсетевых экранов.

Мы рекомендуем использовать VPN на основе маршрутов, если необходимо настроить VPN между несколькими удаленными сайтами. VPN на основе маршрутов могут предоставить те же возможности, что и VPN на основе политик.

Примере: Настройка VPN на основе политик

В этом примере показано, как настроить IPsec VPN на основе политик, чтобы обеспечить надежную передачу данных между двумя сайтами.

Требования

В данном примере используется следующее оборудование:

  • Любое серия SRX устройство

    • Обновлено и повторно засвидещено с vSRX в Junos OS версии 20.4R1.
Прим.:

Вам интересно получить практический опыт работы по темам и операциям, обсуждаемых в данном руководстве? Посетите демонстрацию политик IPsec в виртуальных Juniper Networks Labs и зарезервировать свою свободную песочницу уже сегодня! Песочницу на основе политик IPsec VPN можно найти в категории безопасности.

Перед началом прочитайте Обзор IPsec .

Обзор

В данном примере настраивается VPN на основе политик на SRX1 и SRX2. Хост 1 и хост 2 используют VPN для безопасной отправки трафика через Интернет между обоими хостами.

Рис. 1 показывает пример топологии VPN на основе политик.

Рис. 1: Топология VPN на основе политик Топология VPN на основе политик

IKE согласование туннеля IPsec происходит в два этапа. На 1-м этапе участники устанавливают защищенный канал, по которому согласовываться ассоциация безопасности IPsec (SA). На втором этапе участники согласовывать sa IPsec для аутентификации трафика, который будет проходить через туннель. Поскольку согласование туннеля необходимо провести в два этапа, конфигурация туннеля может быть двух этапов.

В данном примере настраиваются интерфейсы, маршрут по умолчанию IPv4 и зоны безопасности. Затем необходимо настроить IKE фазу 1, фазу 2 IPsec, политику безопасности и параметры TCP-MSS. См. Табл. 1Табл. 5 до .

Табл. 1: Сведения об интерфейсе, статическом маршруте и зоне безопасности для SRX1

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

Зоны безопасности

Доверять

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

 

неторгуемая

  • Интерфейс ge-0/0/1.0 привязан к этой зоне.

Статичные маршруты

0.0.0.0/0

  • Следующий переход – 172.16.13.2.

Табл. 2: IKE фазы 1

Возможность

Имя

Параметры конфигурации

Предложение

Стандартный

  • Метод аутентификации: предварительные общие ключи

Политики

IKE-POL

  • Режим: Главной

  • Справочник по предложениям: Стандартный

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

Шлюза

IKE-GW

  • IKE политики: IKE-POL

  • Внешний интерфейс: ge-0/0/1

  • Адрес шлюза: 172.16.23.1

Табл. 3: Параметры конфигурации фазы 2 IPsec

Возможность

Имя

Параметры конфигурации

Предложение

Стандартный

  • Использование конфигурации по умолчанию

Политики

IPSEC-POL

  • Справочник по предложениям: Стандартный

Vpn

VPN-to-Host2

  • IKE шлюза: IKE-GW

  • Справочник по политикам IPsec: IPSEC-POL

  • создание туннелей немедленно
Табл. 4: Параметры настройки политики безопасности

Цель

Имя

Параметры конфигурации

Эта политика безопасности разрешает трафик из зоны доверия в не доверия зону.

VPN-OUT

  • Критерии соответствия:

    • исходный адрес Host1-Net

    • адрес назначения Host2-Net

    • приложение any

  • Разрешить действие: tunnel ipsec-vpn VPN-to-Host2

Эта политика безопасности разрешает трафик из недоверной зоны в зону доверия.

VPN-IN

  • Критерии соответствия:

    • исходный адрес Host2-Net

    • адрес назначения Host1-Net

    • приложение any

  • Разрешить действие: tunnel ipsec-vpn VPN-to-Host2

Эта политика безопасности разрешает весь трафик из зоны доверия в не доверия зону.

Необходимо поместить политику VPN-OUT перед политикой безопасности, разрешаемой по умолчанию. Junos OS выполняет просмотр политики безопасности, начиная с верхней части списка. Если политика разрешения по умолчанию поставляется раньше политики VPN-OUT, то весь трафик из зоны доверия соответствует политике разрешения по умолчанию и разрешается. Таким образом, ни один трафик никогда не будет соответствовать политике VPN-OUT.

default-permit

  • Критерии соответствия:

    • исходный адрес any

    • источник-место назначения any

    • приложение any

  • Действий: Разрешение

Табл. 5: Параметры конфигурации TCP-MSS

Цель

Параметры конфигурации

TCP-MSS согласовываться как часть трехавтного TCP-связи и ограничивает максимальный размер сегмента TCP, чтобы лучше соответствовать максимальный размер пакета (MTU) пределам сети. Это особенно важно для трафика VPN, поскольку накладные расходы на инкапсуляцию IPsec, а также накладные расходы на IP и кадр, могут привести к тому, что итоговый пакет безопасности полезная нагрузка (ESP) превышает MTU физического интерфейса, что приводит к фрагментации. Фрагментация приводит к повышенному использованию ресурсов полосы пропускания и устройств.

Рекомендуется использовать значение 1350 в качестве начальной точки для большинства сетей на основе Ethernet с MTU 1500 и более. Для получения оптимальной производительности может потребоваться экспериментировать с различными значениями TCP-MSS. Например, может потребоваться изменить значение, если любое устройство на пути обладает более низким MTU или если имеются дополнительные накладные расходы, такие как PPP или Frame Relay.

Значение MSS: 1350

Конфигурации

Настройка базовой информации о сети и зоне безопасности

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции о том, как это сделать, см. в руководстве интерфейс командной строки пользователя.

Настройка интерфейса, статического маршрута и информации о зоне безопасности:

  1. Настройте интерфейсы.

  2. Настройте статические маршруты.

  3. Назначьте интерфейсу, который сталкивается с Интернетом, неподтверченной зоне безопасности.

  4. Укажите допустимые системные службы для недоверной зоны безопасности.

  5. При назначении интерфейса, передаемго хосту 1, в зону безопасности доверия.

  6. Укажите разрешенные системные службы для зоны безопасности доверия.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zones команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка IKE

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Создайте IKE предложение.

  2. Определите метод IKE предложения.

  3. Создайте IKE политики.

  4. Установите режим IKE политики.

  5. Укажите ссылку на предложение IKE.

  6. Определите метод IKE политики.

  7. Создайте IKE шлюза и определите его внешний интерфейс.

  8. Определите IKE шлюза.

  9. Определите справочник IKE политики.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка IPsec

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec.

  2. Создайте политику IPsec.

  3. Укажите справочник предложений IPsec.

  4. Укажите IKE шлюза.

  5. Укажите политику IPsec.

  6. Настройте туннель для немедленного установления.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка политик безопасности

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности:

  1. Создайте записи адресной книги для сетей, которые будут использоваться в политиках безопасности.

  2. Создайте политику безопасности, которая будет соответствовать трафику из хоста 1 в зоне доверия хосту 2 в не доверия зоне.

  3. Создайте политику безопасности, чтобы разрешить весь другой трафик в Интернет из зоны доверия в недоверную зону.

  4. Создайте политику безопасности, чтобы разрешить трафик от хоста 2 в недоверной зоне к host1 в зоне доверия.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security policies команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка TCP-MSS

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурации.

Пошаговая процедура

Настройка данных TCP-MSS:

  1. Настройте данные TCP-MSS.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security flow команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка SRX2

интерфейс командной строки быстрой конфигурации

Для справки представлена конфигурация для SRX2.

Для быстрой настройки этого раздела примера, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit]commit конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE состояния

Цель

Проверьте состояние IKE состояния.

Действий

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE обеспечения безопасности фазы 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Remote Address (Удаленный адрес) — проверьте правильность удаленного IP-адреса.

  • Штат

    • UP — sa фаза 1 установлена.

    • DOWN — создание sa фазы 1 возникла проблема.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

В show security ike security-associations index 1859361 detail этой команде перечислены дополнительные сведения о ассоциации безопасности с индексным номером 1859361:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Информация о роли инициатора и ответчика

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние фазы 2 IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Номер ID — 2. Используйте это значение вместе show security ipsec security-associations index с командой, чтобы получить дополнительные сведения об этой конкретной SA.

  • Существует одна пара SA IPsec, использующая порт 500, что означает, что NAT-обход не реализован. (NAT-обход использует порт 4500 или другой случайный высоконоростной порт.)

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Нелимитные значения 921 указывают на то, что срок действия второго этапа истекает через 921 секунду и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, в списке указаны U (up) или D (down).

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

В выходных данных show security ipsec security-associations index 2 detail команды перечислены следующие сведения:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие iD прокси является одной из наиболее распространенных причин сбоя в фазе 2. Для VPN на основе политик, ID прокси выводится из политики безопасности. Локальный адрес и удаленный адрес выводится из записей адресной книги, а служба выводится из приложения, настроенного для политики. Если фаза 2 не удалась из-за несоответствия ID прокси, можно использовать политику для подтверждения настройки записей адресной книги. Убедитесь, что адреса совпадают с отправленной информацией. Проверьте службу, чтобы убедиться, что порты соответствуют отправленным данным.

Проверка потока трафика через VPN

Цель

Проверьте поток трафика через VPN.

Действий

Используйте команду устройства Host1 для проверки ping потока трафика к хосту 2.

Смысл

Если команда не работает с хоста 1, это может быть проблемой с маршрутизацией, политиками безопасности, конечным хостом или шифрованием и расшифровки ping пакетов ESP.

Просмотр статистики и ошибок для ассоциации безопасности IPsec

Цель

Просмотрите счетчики esp и аутентификации заглавныхдеров и ошибки для ассоциации безопасности IPsec.

Действий

В рабочем режиме введите команду, используя индексный номер VPN, для которого show security ipsec statistics index index_number необходимо получить статистику.

Эту команду можно также использовать для просмотра статистики и show security ipsec statistics ошибок для всех SAS.

Для очистки всей статистики IPsec используйте clear security ipsec statistics эту команду.

Смысл

При проблемах потери пакетов в сети VPN можно выполнить эту команду несколько раз, чтобы подтвердить, что счетчики зашифрованных и дешифрующих пакетов только show security ipsec statistics приращены. Следует также проверить, не приращены ли другие счетчики ошибок.