Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN на основе маршрутов и политик с NAT-T

преобразование сетевых адресов-Traversal (NAT-T) представляет собой метод, используемый для управления проблемами, связанными с трансляцией IP-адресов, которые встречаются, когда данные, защищенные IPsec, проходят через устройство, настроенное NAT для трансляции адресов.

Понимание NAT-T

преобразование сетевых адресов-traversal (NAT-T) – это способ обойти проблемы трансляции IP-адресов, которые встречаются, когда данные, защищенные IPsec, проходят через NAT для трансляции адресов. Любые изменения в IP-адресе, которая является функцией NAT, IKE отбрасывать пакеты. Обнаружив одно или более NAT устройств на пути данных во время обмена данными во время обмена данными, NAT-T добавляет уровень инкапсуляции протокола датаграмм (UDP) в пакеты IPsec, чтобы они не были отброшены после трансляции адреса. NAT-T инкапсулирует трафик IKE ESP в UDP с портом 4500, который используется как исходный, так и в качестве порта назначения. Поскольку NAT устаревшие UDP-трансляции, между узлами требуются сообщения keepalive.

NAT-T включена по умолчанию, поэтому для отключения NAT-T необходимо использовать утверждение no-nat-traversal[edit security ike gateway gateway-name иерархии.

Существует две широкими категориями NAT:

  • Статический NAT, где имеется личные отношения между частными и публичными адресами. Статический NAT работает как в обоих направлениях.

  • Динамическое NAT, где существует много-много взаимосвязи между частными и публичными адресами. Динамические NAT работают только в исходяском направлении.

Расположение устройства NAT такое:

  • Только инициатор IKEv1 или IKEv2 находится за NAT устройством. Несколько инициаторов могут быть за отдельными NAT устройствами. Инициаторы могут также подключаться к ответчику с помощью нескольких NAT устройств.

  • За устройством NAT только ответчик IKEv1 или IKEv2.

  • За устройством NAT и инициатор IKEv1, и IKEv2, и ответчик.

Vpn с динамической конечной точкой описывает ситуацию, в которой IKE внешний адрес инициатора не зафиксирован и поэтому неизвестна ответчику. Это может произойти, если адрес инициатора динамически написан IsP или когда соединение инициатора пересекает динамическое NAT, которое выделяет адреса из динамического пула адресов.

Примеры конфигурации NAT-T предоставляются для топологии, в которой только ответчик находится за NAT устройством, а топология, в которой инициатор и ответчик находятся за NAT устройством. Конфигурация шлюза между IKE узлами NAT-T поддерживается и инициатором, и ответчиком. Удаленный IKE используется для проверки локального IKE узла в фазе 1 согласования IKE туннеля. Инициатору, и ответчику local-identity необходимы настройки и remote-identity настройки.

В SRX5400, SRX5600 и SRX5800 устройствах, проблемы масштабирования NAT-T-T IPsec и поддержания устойчивости следующим образом:

  • Для данного частного IP-адреса устройство NAT преобразовыет 500 и 4500 частных портов в один и тот же публичный IP-адрес.

  • Общее количество туннелей с данного общего преобразуемого IP-адреса не может превышать 1000 туннелей.

Начиная с Junos OS 19.2R1, PowerMode IPSec (PMI) для NAT-T поддерживается только на SRX5400, SRX5600 и SRX5800 устройствах, оснащенных сервисной картой SRX5K-SPC3 Services Processing Card (SPC) или vSRX.

Примере: Настройка VPN на основе маршрутов с только ответчиком за NAT устройством

В этом примере показано, как настроить VPN на основе маршрутов с ответчиком за NAT, чтобы обеспечить надежную передачу данных между филиалом и офисом предприятия.

Требования

Перед началом прочитайте Обзор IPsec .

Обзор

В этом примере VPN на основе маршрутов настраивается для филиала филиала в другой сети (в зависимости от конфигурации), так как необходимо сохранить ресурсы туннеля, но при этом получить гранулярные ограничения на трафик VPN. Пользователи в офисе "Коу" используют VPN для подключения к своим корпоративным офисам в г. Саннивейл, Калифорния.

Рис. 1 показывает пример топологии сети VPN на основе маршрутов, где за одним устройством NAT только ответчик.

Рис. 1: Топология VPN на базе маршрутов с только ответчиком за NAT устройствомТопология VPN на базе маршрутов с только ответчиком за NAT устройством

В данном примере настраиваются интерфейсы, параметры маршрутов, зоны безопасности и политики безопасности как для инициатора, так и для ответчика в г. Саннивейл. Затем настраиваются IKE фазы 1 и фазы 2 IPsec.

Пакеты, отправленные от инициатора с адресом назначения 1.1.1.1/32, преобразуются в адрес назначения 71.1.1.1/32 на NAT.

В Табл. 1Табл. 3 примерах см. конкретные параметры конфигурации, используемые для инициатора.

Табл. 1: Интерфейс, параметры маршрутов, зоны и политики безопасности для инициатора

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/1

1.0.0.1/24

 

ge-0/0/3

33.1.1.1/24

 

st0.1 (туннельный интерфейс)

31.1.1.2/24

Статичные маршруты

32.1.1.0/24

Следующий переход - st0.1.

 

1.1.1.1/32

Следующий переход – 1.0.0.2.

Зоны безопасности

неторгуемая

  • Обслуживание IKE системе разрешено.

  • Интерфейсы ge-0/0/1.0 и st0.1 привязаны к этой зоне.

 

Доверять

  • Все системные службы разрешены.

  • Все протоколы разрешены.

  • Интерфейс ge-0/0/3.0 привязан к этой зоне.

Политики безопасности

в саннивейл

Разрешить трафик от 33.1.1.1/24 в зоне доверия до 32.1.1.1/24 в недоверной зоне.

из г. Саннивейл

Разрешить трафик от 32.1.1.1/24 в недоверной зоне до 33.1.1.1/24 в зоне доверия.

Табл. 2: IKE фазы 1 Для инициатора

Возможность

Имя

Параметры конфигурации

Предложение

ike_prop

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: sha1

  • Алгоритм шифрования: 3des-cbc

Политики

ike_pol

  • Режим: Главной

  • Справочник по предложениям: ike_prop

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

Шлюза

gw1

  • IKE политики: ike_pol

  • Внешний интерфейс: ge-0/0/1.0

  • Адрес шлюза: 1.1.1.1

  • Локальный одноранговой (инициатор) branch_natt1@example.net

  • Удаленный одноранговой (ответчик): responder_natt1@example.net

Табл. 3: Параметры конфигурации фазы 2 IPsec для инициатора

Возможность

Имя

Параметры конфигурации

Предложение

ipsec_prop

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-sha1-96

  • Алгоритм шифрования: 3des-cbc

Политики

ipsec_pol

  • Справочник по предложениям: ipsec_prop

  • Ключи для разглашенной секретности (PFS) group2

Vpn

vpn1

  • IKE шлюза: gw1

  • Справочник по политикам IPsec: ipsec_pol

  • Привязка к интерфейсу: st0.1

  • Создание туннелей немедленно

В примерах см. специальные параметры конфигурации, Табл. 4 используемые для Табл. 6 ответчика.

Табл. 4: Интерфейс, параметры маршрутов, зоны и политики безопасности для ответчика

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/2

71.1.1.1/24

 

ge-0/0/3

32.1.1.1/24

 

st0.1 (туннельный интерфейс)

31.1.1.1/24

Статичные маршруты

0.0.0.0/0 (маршрут по умолчанию)

Следующий переход – 71.1.1.2.

 

33.1.1.0/24

Следующий переход - st0.1.

Зоны безопасности

неторгуемая

  • Обслуживание IKE системе разрешено.

  • Интерфейсы ge-0/0/2.0 и st0.1 привязаны к этой зоне.

 

Доверять

  • Все системные службы разрешены.

    Все протоколы разрешены.

  • Интерфейс ge-0/0/3.0 привязан к этой зоне.

Политики безопасности

в разных

Разрешить трафик от 32.1.1.1/24 в зоне доверия до 33.1.1.1/24 в недоверной зоне.

из разных стран

Разрешить трафик от 33.1.1.1/24 в недоверной зоне до 32.1.1.1/24 в зоне доверия.

Табл. 5: IKE фазы 1 Для ответчика

Возможность

Имя

Параметры конфигурации

Предложение

ike_prop

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: sha1

  • Алгоритм шифрования: 3des-cbc

Политики

ike_pol

  • Режим: Главной

  • Справочник по предложениям: ike_prop

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

Шлюза

gw1

  • IKE политики: ike_pol

  • Внешний интерфейс: ge-0/0/2.0

  • Адрес шлюза: 1.0.0.1

  • Локальный одноранговой (ответчик): responder_natt1@example.net

  • Удаленный одноранговой (инициатор) branch_natt1@example.net

Табл. 6: Параметры конфигурации IPsec фазы 2 для ответчика

Возможность

Имя

Параметры конфигурации

Предложение

ipsec_prop

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-sha1-96

  • Алгоритм шифрования: 3des-cbc

Политики

ipsec_pol

  • Справочник по предложениям: ipsec_prop

  • Ключи PFS: group2

Vpn

vpn1

  • IKE шлюза: gw1

  • Справочник по политикам IPsec: ipsec_pol

  • Привязка к интерфейсу: st0.1

  • Создание туннелей немедленно

Конфигурации

Настройка интерфейса, параметров маршрутов, зон безопасности и политик безопасности для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать интерфейс, статический маршрут, зону безопасности и информацию о политике безопасности:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Настройте неверную зону безопасности.

  4. Назначьте интерфейсы неподтверченной зоне безопасности.

  5. Указание разрешенных системных служб для недоверной зоны безопасности.

  6. Настройка зоны безопасности доверия.

  7. Назначьте интерфейс для зоны безопасности доверия.

  8. Указание разрешенных системных служб для зоны безопасности доверия.

  9. Настройте адресные книги.

  10. Создайте политики безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow routing-options команд и show security zonesshow security address-bookshow security policies команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Создайте предложение IKE фазе 1.

  2. Определите метод IKE предложения.

  3. Определите IKE группы Diffie-Hellman.

  4. Определите алгоритм IKE предложения.

  5. Определите алгоритм IKE предложения.

  6. Создайте политику IKE фазе 1.

  7. Установите режим IKE фазе 1.

  8. Укажите ссылку на предложение IKE.

  9. Определите метод IKE политики фазы 1.

  10. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  11. Определите опорный IKE политики фазы 1.

  12. Определите IKE шлюза фазы 1.

  13. Настройка local-identity локального одноранговых узла.

  14. Набор remote-identity ответчиков. Это идентификатор IKE идентификатора.

  15. Определите внешний интерфейс.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Создайте политику IPsec на 2-м этапе.

  6. Укажите этап 2 IPsec для использования идеальной секретности forward secrecy (PFS).

  7. Укажите справочник предложений IPsec фазы 2.

  8. Укажите IKE шлюза.

  9. Укажите политику IPsec на 2-м этапе.

  10. Укажите интерфейс для привязки.

  11. Укажите, что туннель будет немедленно разнесенным, не дожидаясь, пока будет отправлен пакет проверки.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка интерфейсов, параметров маршрутов, зон безопасности и политик безопасности для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки интерфейса, статического маршрута, зон безопасности, политик и шлюзов:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Настройте неверную зону безопасности.

  4. Назначьте интерфейсы неподтверченной зоне безопасности.

  5. Указание разрешенных системных служб для недоверной зоны безопасности.

  6. Настройка зоны безопасности доверия.

  7. Назначьте интерфейс для зоны безопасности доверия.

  8. Указание разрешенных системных служб для зоны безопасности доверия.

  9. Настройте адресные книги.

  10. Создайте политики безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow routing-options команд и show security zonesshow security address-bookshow security policies команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Создайте предложение IKE фазе 1.

  2. Определите метод IKE предложения.

  3. Определите IKE группы Diffie-Hellman.

  4. Определите алгоритм IKE предложения.

  5. Определите алгоритм IKE предложения.

  6. Создайте политику IKE фазе 1.

  7. Установите режим IKE фазе 1.

  8. Укажите ссылку на предложение IKE.

  9. Определите метод IKE политики фазы 1.

  10. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  11. Определите опорный IKE политики фазы 1.

  12. Определите IKE шлюза фазы 1.

  13. Набор local-identity ответчиков.

  14. Набор remote-identity ответчиков. Это идентификатор IKE идентификатора.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Создайте политику IPsec на 2-м этапе.

  6. Укажите этап 2 IPsec для использования идеальной секретности forward secrecy (PFS).

  7. Укажите справочник предложений IPsec фазы 2.

  8. Укажите IKE шлюза.

  9. Укажите политику IPsec на 2-м этапе.

  10. Укажите интерфейс для привязки.

  11. Укажите, что туннель будет немедленно разнесенным, не дожидаясь, пока будет отправлен пакет проверки.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE 1-го этапа для инициатора

Цель

Проверьте состояние IKE 1.

Действий

Перед началом процесса проверки необходимо отправить трафик с хоста в сети 33.1.1.0 на хост в сети 32.1.1.0. Для VPN на основе маршрутов трафик может быть инициирован серия SRX через туннель. Рекомендуется при тестировании туннелей IPsec тестировать трафик с отдельного устройства на одной стороне VPN на второе устройство на другой стороне VPN. Например, инициировать операцию ping с 33.1.1.2 по 32.1.1.2.

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Удаленный адрес — проверьте правильность удаленного IP-адреса и что порт 500 используется для одноранговой связи.

  • Состояние инициатора роли

    • Up — sa фаза 1 установлена.

    • Down . Возникла проблема при установлении SA фазы 1.

    • Оба узла в паре SA IPsec используют порт 500.

    • Peer IKE ID— проверьте правильность удаленного адреса.

    • Локализованная идентификация и удаленная идентификация— убедитесь, что они верны.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations команда перечисляет дополнительную информацию о ассоциациях безопасности:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка ассоциаций безопасности IPsec для инициатора

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Удаленный шлюз имеет NAT 1.1.1.1.

  • Оба узла в паре SA IPsec используют порт 500.

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение "2532/unlim" указывает на то, что срок действия второго этапа истекает через 2532 секунды и срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

Проверка состояния IKE 1-го этапа для ответчика

Цель

Проверьте состояние IKE 1.

Действий

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Удаленный адрес — проверьте правильность удаленного IP-адреса и что порт 500 используется для одноранговой связи.

  • Состояние ответчика роли

    • Up — sa фаза 1 установлена.

    • Down . Возникла проблема при установлении SA фазы 1.

    • Peer IKE ID— проверьте правильность адреса.

    • Локализованная идентификация и удаленная идентификация — проверьте правильность этих адресов.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations команда перечисляет дополнительную информацию о ассоциациях безопасности:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка ассоциаций безопасности IPsec для ответчика

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Ip-адрес удаленного шлюза - 1.0.0.1.

  • Оба узла в паре SA IPsec используют порт 500.

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3571/unlim означает, что срок действия фазы 2 истекает через 3571 секунду и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

В выходных данных show security ipsec security-associations index index_iddetail команды перечислены следующие сведения:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.

  • Другая распространенная причина сбоя второго этапа - не указание привязки интерфейса ST. Если IPsec не может завершиться, проверьте параметры журнала "kmd" или установите параметры трассировки.

Примере: Настройка VPN на основе политик с инициатором и ответчиком за NAT устройством

В этом примере показано, как настроить VPN на основе политики: и с инициатором, и с ответчиком за NAT, чтобы обеспечить надежную передачу данных между филиалом и офисом предприятия.

Требования

Перед началом прочитайте Обзор IPsec .

Обзор

В данном примере VPN на основе политик настраивается для филиала в другой сети с возможностью сохранения туннельных ресурсов, но при этом получаются гранулярные ограничения на трафик VPN. Пользователи офиса используют VPN для подключения к своим корпоративным офисам в г. Саннивейл, Калифорния.

В данном примере настраиваются интерфейсы, параметры маршрутов, зоны безопасности, политики безопасности для инициатора и ответчика.

Рис. 2 показывает пример топологии сети VPN с инициатором и ответчиком за статическим NAT устройством.

Рис. 2: Топология VPN на основе политик с инициатором и ответчиком за NAT устройствомТопология VPN на основе политик с инициатором и ответчиком за NAT устройством

В данном примере настраиваются интерфейсы, маршрут по умолчанию IPv4 и зоны безопасности. После этого IKE фазе 1, включая локальных и удаленных одноранговых узла, фазу 2 IPsec и политику безопасности. Обратите внимание, что в примере выше частный IP-адрес ответчика 13.168.11.1 скрывается устройством статического NAT и со карты на публичный IP-адрес 1.1.100.1.

В Табл. 7Табл. 10 примерах см. конкретные параметры конфигурации, используемые для инициатора.

Табл. 7: Интерфейс, параметры маршрутов и зоны безопасности для инициатора

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

Статичные маршруты

10.2.99.0/24 (маршрут по умолчанию)

Следующий переход – 12.168.99.100.

 

1.1.100.0/24

12.168.99.100

Зоны безопасности

Доверять

  • Все системные службы разрешены.

  • Все протоколы разрешены.

  • Интерфейс ge-0/0/1.0 привязан к этой зоне.

 

неторгуемая

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

Табл. 8: IKE фазы 1 Для инициатора

Возможность

Имя

Параметры конфигурации

Предложение

ike_prop

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: md5

  • Алгоритм шифрования: 3des-cbc

Политики

ike_pol

  • Режим: Главной

  • Справочник по предложениям: ike_prop

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

Шлюза

Ворота

  • IKE политики: ike_pol

  • Внешний интерфейс: ge-0/0/1.0

  • Адрес шлюза: 1.1.100.23

  • Локальный одноранговой узла - hostname

  • Удаленный одноранговой узла - hostname sunnyvale

Табл. 9: Параметры конфигурации фазы 2 IPsec для инициатора

Возможность

Имя

Параметры конфигурации

Предложение

ipsec_prop

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-md5-96

  • Алгоритм шифрования: 3des-cbc

Политики

ipsec_pol

  • Справочник по предложениям: ipsec_prop

  • Идеальная секретность для разглашности (PFS) group1

Vpn

first_vpn

  • IKE шлюза: Ворота

  • Справочник по политикам IPsec: ipsec_pol

Табл. 10: Параметры настройки политики безопасности для инициатора

Цель

Имя

Параметры конфигурации

Политика безопасности разрешает туннельный трафик из зоны доверия в не доверия.

pol1

  • Критерии соответствия:

    • исходный адрес any

    • адрес назначения any

    • приложение any

  • Действий: permit tunnel ipsec-vpn first_vpn

Политика безопасности разрешает туннельный трафик из недоверной зоны в зону доверия.

pol1

  • Критерии соответствия:

    • приложение any

  • Действий: permit tunnel ipsec-vpn first_vpn

В примерах см. специальные параметры конфигурации, Табл. 11 используемые для Табл. 14 ответчика.

Табл. 11: Интерфейс, параметры маршрутов и зоны безопасности для ответчика

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

Статичные маршруты

10.1.99.0/24 (маршрут по умолчанию)

Следующий переход - 13.168.11.100

 

1.1.100.0/24

13.168.11.100

Зоны безопасности

Доверять

  • Все системные службы разрешены.

  • Все протоколы разрешены.

  • Интерфейс ge-0/0/1.0 привязан к этой зоне.

 

неторгуемая

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

Табл. 12: IKE фазы 1 Для ответчика

Возможность

Имя

Параметры конфигурации

Предложение

ike_prop

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: md5

  • Алгоритм шифрования: 3des-cbc

Политики

ike_pol

  • Режим: Главной

  • Справочник по предложениям: ike_prop

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

Шлюза

Ворота

  • IKE политики: ike_pol

  • Внешний интерфейс: ge-0/0/1.0

  • Адрес шлюза: 1.1.100.22

  • Всегда отсылайте обнаружение мертвых равноправных узлах

  • Локальным одноранговым является hostname sunnyvale

  • Удаленный одноранговой ранг - hostname

Табл. 13: Параметры конфигурации IPsec фазы 2 для ответчика

Возможность

Имя

Параметры конфигурации

Предложение

ipsec_prop

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-md5-96

  • Алгоритм шифрования: 3des-cbc

Политики

ipsec_pol

  • Справочник по предложениям: ipsec_prop

  • Идеальная секретность для разглашности (PFS) group1

Vpn

first_vpn

  • IKE шлюза: Ворота

  • Справочник по политикам IPsec: ipsec_pol

Табл. 14: Параметры настройки политики безопасности для ответчика

Цель

Имя

Параметры конфигурации

Политика безопасности разрешает туннельный трафик из зоны доверия в не доверия.

pol1

  • Критерии соответствия:

    • исходный адрес any

    • адрес назначения any

    • приложение any

  • Действий: permit tunnel ipsec-vpn first_vpn

Политика безопасности разрешает туннельный трафик из недоверной зоны в зону доверия.

pol1

  • Критерии соответствия:

    • приложение any

  • Действий: permit tunnel ipsec-vpn first_vpn

Конфигурации

Настройка интерфейса, параметров маршрутов и зон безопасности для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка интерфейсов, статических маршрутов и зон безопасности:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Настройка зоны безопасности доверия.

  4. Назначьте интерфейс для зоны безопасности доверия.

  5. Укажите системные службы для зоны безопасности доверия.

  6. Назначьте интерфейс недостоверной зоне безопасности.

Результаты

В режиме конфигурации подтвердите свою конфигурацию путем ввода команд и команд Если в выходных данных не отображается данная конфигурация, повторите инструкции, показанные в этом show interfacesshow routing-options примере, для исправления show security zones конфигурации.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Создайте предложение IKE фазе 1.

  2. Определите метод IKE предложения.

  3. Определите IKE группы Diffie-Hellman.

  4. Определите алгоритм IKE предложения.

  5. Определите алгоритм IKE предложения.

  6. Создайте политику IKE фазе 1.

  7. Установите режим IKE фазе 1.

  8. Укажите ссылку на предложение IKE.

  9. Определите метод IKE политики фазы 1.

  10. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  11. Создайте IKE шлюза фазы 1.

  12. Определите опорный IKE политики фазы 1.

  13. Установлено local-identity для локального одноранговых узла.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Укажите справочник предложений IPsec фазы 2.

  6. Укажите этап 2 IPsec, чтобы использовать идеальное разглашобие секретности (PFS) группы 1.

  7. Укажите IKE шлюза.

  8. Укажите политику IPsec на 2-м этапе.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка политик безопасности для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности:

  1. Создайте политику безопасности, чтобы разрешить трафик из зоны доверия в не доверия зону.

  2. Создайте политику безопасности для разрешения трафика из недоверной зоны в доверную зону.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security policies команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка NAT для инициатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы настроить инициатора, предоставляющий NAT:

  1. Настройте интерфейсы.

  2. Настройте зоны.

  3. Настройте NAT.

  4. Настройте политику безопасности по умолчанию.

  5. Настройте параметр маршрутов.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security nat команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка интерфейса, параметров маршрутов и зон безопасности для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать интерфейсы, статические маршруты, зоны безопасности и политики безопасности:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Назначьте интерфейс недостоверной зоне безопасности.

  4. Настройка зоны безопасности доверия.

  5. Назначьте интерфейс для зоны безопасности доверия.

  6. Указание разрешенных системных служб для зоны безопасности доверия.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zones команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Определите метод IKE предложения.

  2. Определите IKE группы Diffie-Hellman.

  3. Определите алгоритм IKE предложения.

  4. Определите алгоритм IKE предложения.

  5. Создайте политику IKE фазе 1.

  6. Установите режим IKE фазе 1.

  7. Укажите ссылку на предложение IKE.

  8. Определите метод IKE политики фазы 1.

  9. Создайте шлюз IKE фазе 1 и определите его динамическое имя хоста.

  10. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  11. Определите опорный IKE политики фазы 1.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Создайте политику IPsec на 2-м этапе.

  6. Установите на 2-м этапе IPsec группу 1 для использования идеальной разглашности передающего секретности (PFS).

  7. Укажите справочник предложений IPsec фазы 2.

  8. Укажите IKE шлюза.

  9. Укажите политику IPsec на 2-м этапе.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка политик безопасности для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности:

  1. Создайте политику безопасности, чтобы разрешить трафик из зоны доверия в не доверия зону.

  2. Создайте политику безопасности для разрешения трафика из недоверной зоны в доверную зону.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security policies команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Настройка NAT для ответчика

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка ответчика, предоставляющая NAT:

  1. Настройте интерфейсы.

  2. Настройте зоны.

  3. Настройте NAT.

  4. Настройте политику безопасности по умолчанию.

  5. Настройте параметр маршрутов.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security nat команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE 1-го этапа для инициатора

Цель

Проверьте состояние IKE 1.

Действий

Перед началом процесса проверки необходимо отправить трафик с хоста в сети 10.1.99.0 на хост в сети 10.2.99.0. Для VPN на основе маршрутов трафик может быть инициирован серия SRX через туннель. Рекомендуется при тестировании туннелей IPsec тестировать трафик с отдельного устройства на одной стороне VPN на второе устройство на другой стороне VPN. Например, инициировать операцию ping с 10.1.99.2 по 10.2.99.2.

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Удаленный адрес — проверьте правильность удаленного IP-адреса и что порт 4500 используется для одноранговой связи.

  • Состояние инициатора роли

    • Up — sa фаза 1 установлена.

    • Down . Возникла проблема при установлении SA фазы 1.

    • Оба узла в паре SA IPsec используют порт 4500, что означает, что NAT-T реализован. (NAT-T использует порт 4500 или другой случайный высоконоростной порт.)

    • Peer IKE ID — проверьте правильность удаленного (ответчика) ID. В данном примере имя хоста – sunnyvale.

    • Локализованная идентификация и удаленная идентификация— убедитесь, что они верны.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations команда перечисляет дополнительную информацию о ассоциациях безопасности:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка ассоциаций безопасности IPsec для инициатора

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Удаленный шлюз имеет NAT 13.168.11.100.

  • Оба узла в паре SA IPsec используют порт 4500, что означает, что NAT-T реализован. (NAT-T использует порт 4500 или другой случайный высоконоростной порт.).

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Неограниченное значение 3390/указывает, что срок действия фазы 2 истекает через 3390 секунд и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

Проверка состояния IKE 1-го этапа для ответчика

Цель

Проверьте состояние IKE 1.

Действий

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Удаленный адрес — проверьте правильность удаленного IP-адреса и что порт 4500 используется для одноранговой связи.

  • Состояние ответчика роли

    • Up — sa фаза 1 установлена.

    • Down . Возникла проблема при установлении SA фазы 1.

    • Peer IKE ID— проверьте правильность локального ID для узла. В данном примере имя хоста - это имя "немара".

    • Локализованная идентификация и удаленная идентификация— убедитесь, что они верны.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations команда перечисляет дополнительную информацию о ассоциациях безопасности:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка ассоциаций безопасности IPsec для ответчика

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Удаленный шлюз имеет NAT 1.1.100.23.

  • Оба узла в паре SA IPsec используют порт 4500, что означает, что NAT-T реализован. (NAT-T использует порт 4500 или другой случайный высоконоростной порт.)

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3571/unlim означает, что срок действия фазы 2 истекает через 3571 секунду и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

Примере: Настройка NAT-T с динамической конечной точкой VPN

В данном примере показано, как настроить vpn на основе маршрутов, где инициатор IKEv2 является динамической конечной точкой за NAT устройством.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Два серия SRX устройства, настроенные в кластере с шасси

  • Одно серия SRX, обеспечивающее NAT

  • Одно серия SRX устройство, предоставляющее доступ к сети филиальной сети

  • Junos OS версии 12.1X46-D10 для поддержки IKEv2 NAT T

Обзор

В этом примере VPN IPsec настроен между филиалом (инициатором IKEv2) и головном офисом (ответчик IKEv2) для обеспечения безопасности сетевого трафика между двумя расположениями. Филиал находится за устройством NAT сетью. Адрес филиала присвоен динамически и неизвестен ответчику. Инициатор настраивается с удаленной идентификацией ответчика для согласования туннеля. Эта конфигурация устанавливает динамическую VPN-точку между одноранговых узлами по NAT устройству.

Рис. 3 показывает пример топологии с NAT-Traversal (NAT-T) и динамической конечной точкой VPN.

Рис. 3: NAT-T с динамической конечной точкой VPNNAT-T с динамической конечной точкой VPN

В этом примере IP-адрес инициатора, 192.179.100.50, который был динамически присвоен устройству, скрывается устройством NAT и транслется в 100.10.1.253.

В данном примере применяются следующие параметры конфигурации:

  • Локальный идентификатор, настроенный на инициаторе, должен совпадать с идентификатором удаленного шлюза, настроенным на ответчике.

  • Параметры фазы 1 и 2 должны совпадать между инициатором и ответчиком.

В данном примере для всех устройств используется политика безопасности по умолчанию, разрешаемая весь трафик. Для производственной среды следует настроить более ограничивающие политики безопасности. См. Обзор политик безопасности.

Начиная Junos OS выпуска 12.1X46-D10 и Junos OS 17.3R1, значение по умолчанию параметра, настроенного на уровне иерархии, изменено с 5 секунд до nat-keepalive[edit security ike gateway gateway-name] 20 секунд.

В SRX1400, SRX3400, SRX3600, SRX5600 и SRX5800 устройств, IKE согласования с участием NAT обхода не работают, если IKE одноранговой ранг находится за NAT устройством, которое изменит IP-адрес источника IKE пакетов во время согласования. Например, если NAT устройство настроено с DIP, то оно изменяет IP-адрес источника, так как протокол IKE переключает UDP-порт с 500 на 4500. (Поддержка платформы зависит от Junos OS версии установки.)

Конфигурации

Настройка устройства филиала (инициатор IKEv2)

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка устройства филиала:

  1. Настройте интерфейсы.

  2. Настройте параметры маршрутов.

  3. Настройте зоны.

  4. Настройте параметры фазы 1.

  5. Настройте параметры фазы 2.

  6. Настройте политику безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow routing-options команд , , show security zonesshow security ikeshow security ipsecshow security policies и. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка устройства NAT

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки промежуточного маршрутизатора, обеспечивая NAT:

  1. Настройте интерфейсы.

  2. Настройте зоны.

  3. Настройте NAT.

  4. Настройте политику безопасности по умолчанию.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show security zones и show security nat sourceshow security policies команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка устройства головного офиса (ответчик IKEv2)

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

  1. Настройте два узла в качестве кластера шасси.

  2. Настройте интерфейсы.

  3. Настройте параметры маршрутов.

  4. Настройте зоны.

  5. Настройте параметры фазы 1.

  6. Настройте параметры фазы 2.

  7. Настройте политику безопасности по умолчанию.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show chassis cluster команд , , , , , show interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsecshow security policies и. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка состояния IKE 1-го этапа для ответчика

Цель

Проверьте состояние IKE 1.

Действий

В рабочем режиме на узле 0 введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index index_id detail получения дополнительной информации об SA.

  • Удаленный адрес — проверьте правильность локального IP-адреса и что порт 4500 используется для одноранговой связи.

  • Состояние ответчика роли

    • Up — sa фаза 1 установлена.

    • Down . Возникла проблема при установлении SA фазы 1.

    • Peer IKE ID— проверьте правильность адреса.

    • Локализованная идентификация и удаленная идентификация — проверьте правильность этих адресов.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакеты)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations команда перечисляет дополнительную информацию о ассоциациях безопасности:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка ассоциаций безопасности IPsec для ответчика

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме на узле 0 введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Удаленный шлюз имеет IP-адрес 100.10.1.253.

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение срока действия указывает, что срок действия фазы 2 истекает через 7186 секунд и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

В выходных данных show security ipsec security-associations index index_id detail команды перечислены следующие сведения:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, совпадают для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.

  • Другая распространенная причина сбоя второго этапа - не указание привязки интерфейса ST. Если IPsec не может завершиться, проверьте параметры журнала "kmd" или установите параметры трассировки.

Таблица истории выпусков
Версия
Описание
12.1X46-D10
Начиная Junos OS выпуска 12.1X46-D10 и Junos OS 17.3R1, значение по умолчанию параметра, настроенного на уровне иерархии, изменено с 5 секунд до nat-keepalive[edit security ike gateway gateway-name] 20 секунд.