Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN на основе маршрутов с IKEv2

Internet Key Exchange 2 (IKEv2) — это протокол туннелирования на основе IPsec, который обеспечивает безопасный канал связи VPN между равноправными VPN-устройствами и определяет согласование и аутентификацию для ассоциаций безопасности IPsec (SAs) защищенным способом.

Примере: Настройка СЕТИ VPN на основе маршрутов для IKEv2

В данном примере показано, как настроить IPsec VPN на основе маршрутов, чтобы обеспечить надежную передачу данных между филиалом и корпоративной фирмой.

Требования

В данном примере используется следующее оборудование:

  • SRX240

  • Устройство SSG140

Перед началом прочитайте Обзор IPsec .

Обзор

В этом примере VPN на основе маршрутов настраивается для филиала филиала в другой сети (в зависимости от конфигурации), так как необходимо сохранить ресурсы туннеля, но при этом получить гранулярные ограничения на трафик VPN. Пользователи в офисе "Коу" используют VPN для подключения к своим корпоративным офисам в г. Саннивейл, Калифорния.

В данном примере настраиваются интерфейсы, маршрут по умолчанию IPv4, зоны безопасности и адресные книги. Затем необходимо настроить IKE фазу 1, фазу 2 IPsec, политику безопасности и параметры TCP-MSS. См. Табл. 1Табл. 5 конкретные параметры конфигурации, используемые в данном примере.

Табл. 1: Сведения об интерфейсе, статическом маршруте, зоне безопасности и адресной книге

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (туннельный интерфейс)

10.11.11.10/24

Статичные маршруты

0.0.0.0/0 (маршрут по умолчанию)

Следующий переход – 10.1.1.1.

192.168.168.0/24

Следующий переход - st0.0.

Зоны безопасности

Доверять

  • Все системные службы разрешены.

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

неторгуемая

  • IKE – единственная разрешенная системная служба.

  • Интерфейс ge-0/0/3.0 привязан к этой зоне.

VPN-раз

Интерфейс st0.0 привязан к этой зоне.

Записи адресной книги

Саннивейл

  • Этот адрес является адресной книгой зоны доверия.

  • Адрес для записи адресной книги - 192.168.10.0/24.

Чикаго

  • Этот адрес является адресной книгой недоверной зоны.

  • Адрес для записи адресной книги - 192.168.168.0/24.

Табл. 2: IKE фазы 1

Возможность

Имя

Параметры конфигурации

Предложение

ike-phase1-proposal

  • Метод аутентификации: предварительные общие ключи

  • Группа Diffie-Hellman: group2

  • Алгоритм аутентификации: sha1

  • Алгоритм шифрования: aes-128-cbc

Политики

ike-phase1-policy

  • Режим: Главной

  • Справочник по предложениям: ike-phase1-proposal

  • IKE аутентификации политики фазы 1: пред-общий ключ ascii-text

Шлюза

gw-

  • IKE политики: ike-phase1-policy

  • Внешний интерфейс: ge-0/0/3.0

  • Адрес шлюза: 10.2.2.2

Табл. 3: Параметры конфигурации фазы 2 IPsec

Возможность

Имя

Параметры конфигурации

Предложение

ipsec-phase2-proposal

  • Протокол: Esp

  • Алгоритм аутентификации: hmac-sha1-96

  • Алгоритм шифрования: aes-128-cbc

Политики

ipsec-phase2-policy

  • Справочник по предложениям: ipsec-phase2-proposal

  • Pfs: Группа Diffie-Hellman2

Vpn

ipsec-vpn-

  • IKE шлюза: gw-

  • Справочник по политикам IPsec: ipsec-phase2-policy

  • Привязка к интерфейсу: st0.0

Табл. 4: Параметры настройки политики безопасности

Цель

Имя

Параметры конфигурации

Политика безопасности разрешает трафик из зоны доверия в VPN-зону.

VPN-tr-chi

  • Критерии соответствия:

    • источник-адрес sunnyvale

    • адреса назначения

    • приложение any

  • Действий: Разрешение

Политика безопасности разрешает трафик из VPN-зоны в доверную зону.

VPN-chi-tr

  • Критерии соответствия:

    • источник-адреса

    • destination-address sunnyvale

    • приложение any

  • Действий: Разрешение

Табл. 5: Параметры конфигурации TCP-MSS

Цель

Параметры конфигурации

TCP-MSS согласовываться как часть трехавтного TCP-связи и ограничивает максимальный размер сегмента TCP, чтобы лучше соответствовать MTU ограничениям в сети. Для трафика VPN накладные расходы на инкапсуляцию IPsec, а также накладные расходы на IP и кадр, могут привести к тому, что итоговый пакет ESP превышает MTU физического интерфейса, что вызывает фрагментацию. Фрагментация увеличивает полосу пропускания и ресурсы устройств.

Рекомендуется использовать значение 1350 в качестве начальной точки для большинства сетей на основе Ethernet с MTU 1500 и более. Для получения оптимальной производительности может потребоваться экспериментировать с различными значениями TCP-MSS. Например, может потребоваться изменить значение, если любое устройство на пути обладает более низким MTU или если имеются дополнительные накладные расходы, такие как PPP или Frame Relay.

Значение MSS: 1350

Конфигурации

Настройка интерфейса, статического маршрута, зоны безопасности и адресной книги

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка интерфейса, статического маршрута, зоны безопасности и адресной книги:

  1. Настройте сведения об интерфейсе Ethernet.

  2. Настройте сведения о статическом маршруте.

  3. Настройте неверную зону безопасности.

  4. Назначьте интерфейс зоне безопасности.

  5. Указание разрешенных системных служб для зоны безопасности.

  6. Настройка зоны безопасности доверия.

  7. Назначьте интерфейс для зоны безопасности доверия.

  8. Указание разрешенных системных служб для зоны безопасности доверия.

  9. Настройте запись адресной книги для зоны доверия.

  10. Настройте зону безопасности VPN-zone.

  11. Назначьте интерфейс зоне безопасности.

  12. Настройте запись адресной книги для зоны VPN-разархив.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zones команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка IKE

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Создайте предложение IKE фазе 1.

  2. Определите метод IKE предложения.

  3. Определите IKE группы Diffie-Hellman.

  4. Определите алгоритм IKE предложения.

  5. Определите алгоритм IKE предложения.

  6. Создайте политику IKE фазе 1.

  7. Укажите ссылку на предложение IKE.

  8. Определите метод IKE политики фазы 1.

  9. Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.

  10. Определите опорный IKE политики фазы 1.

  11. Определите IKE шлюза фазы 1.

  12. Определите IKE шлюза фазы 1.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка IPsec

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec фазы 2.

  2. Укажите протокол предложения IPsec на 2-м этапе.

  3. Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.

  4. Укажите алгоритм шифрования предложения IPsec на 2-м этапе.

  5. Создайте политику IPsec на 2-м этапе.

  6. Укажите справочник предложений IPsec фазы 2.

  7. Укажите IPsec Фаза 2 PFS, чтобы использовать группу 2 Diffie-Hellman.

  8. Укажите IKE шлюза.

  9. Укажите политику IPsec на 2-м этапе.

  10. Укажите интерфейс для привязки.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка политик безопасности

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности:

  1. Создайте политику безопасности, чтобы разрешить трафик из зоны доверия в vpn-зону.

  2. Создайте политику безопасности для разрешения трафика из VPN-зоны в доверную зону.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security policies команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка TCP-MSS

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка данных TCP-MSS:

  1. Настройка данных TCP-MSS.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security flow команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка устройства серия SSG

интерфейс командной строки быстрой конфигурации

Для справки представлена конфигурация серия SSG устройства. Сведения о настройке серия SSG см. в справочнике по концепции и примерам справочного руководства ScreenOS,расположенном на https://www.juniper.net/documentation.

Для быстрой настройки этого раздела примера, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit]commit конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE 1.

Действий

Перед началом процесса проверки необходимо отправить трафик с хоста в сети 192.168.10/24 на хост в сети 192.168.168/24. Для VPN на основе маршрутов трафик может быть инициирован серия SRX через туннель. Рекомендуется при тестировании туннелей IPsec тестировать трафик с отдельного устройства на одной стороне VPN на второе устройство на другой стороне VPN. Например, инициировать ping с 192.168.10.10 по 192.168.168.10.

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Remote Address (Удаленный адрес) — проверьте правильность удаленного IP-адреса.

  • Штат

    • UP — sa фаза 1 установлена.

    • DOWN — создание sa фазы 1 возникла проблема.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов).

  • IKE параметры политики.

  • Предварительные сведения о ключе.

  • Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах).

Эта show security ike security-associations index 1 detail команда перечисляет дополнительную информацию об SA с индексным номером 1:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние фазы 2 IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Номер ID – 16384. Используйте это значение вместе show security ipsec security-associations index с командой, чтобы получить дополнительные сведения об этой конкретной SA.

  • Существует одна пара SA IPsec, использующая порт 500.

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3363/unlim означает, что срок действия фазы 2 истекает через 3363 секунды и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Vsys является корневой системой, и всегда перечислены как 0.

  • IKEv2 разрешает подключения от узла версии 2 и инициирует согласование версии 2.

В выходных данных show security ipsec security-associations index 16384 detail команды перечислены следующие сведения:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.

  • Другая распространенная причина сбоя второго этапа - не указание привязки интерфейса ST. Если IPsec не может завершиться, проверьте параметры журнала "kmd" или установите параметры трассировки.

Просмотр статистики и ошибок для ассоциации безопасности IPsec

Цель

Просмотрите счетчики ESP и загона аутентификации и ошибки для SA IPsec.

Действий

В рабочем режиме введите команду, используя индексный номер VPN, для которого show security ipsec statistics index index_number необходимо получить статистику.

Эту команду можно также использовать для просмотра статистики и show security ipsec statistics ошибок для всех SAS.

Для очистки всей статистики IPsec используйте clear security ipsec statistics эту команду.

Смысл

При проблемах потери пакетов в сети VPN можно выполнить команду или несколько раз, чтобы подтвердить, что счетчики зашифрованных и расшифровавающих пакетов только show security ipsec statisticsshow security ipsec statistics detail приращены. Следует также проверить, что остальные счетчики ошибок приращены.

Проверка потока трафика через VPN

Цель

Проверьте поток трафика через VPN.

Действий

Эту команду можно использовать с самого серия SRX для проверки ping потока трафика на удаленный пк хоста. Убедитесь, что задавалось интерфейс источника, чтобы во время осмотра политики были указаны правильные зоны безопасности.

В рабочем режиме введите ping команду.

Эту команду также можно ping использовать с серия SSG устройства.

Смысл

Если команда не работает с серия SRX или серия SSG, то может возникнуть проблема с маршрутизацией, политиками безопасности, конечным хостом или шифрованием и расшифровки ping пакетов ESP.

Примере: Настройка серия SRX ячеек Pico с помощью конфигурации IKEv2 полезная нагрузка

В сетях, в которых развертывается множество устройств, управление сетью должно быть простым. Функция полезной информации конфигурации IKEv2 поддерживает искомые устройства, не прикасаясь ни к конфигурации устройства, ни серия SRX конфигурации. В данном примере показано, как настроить серия SRX для поддержки инклюзивности pico ячеек с помощью функции полезной нагрузки конфигурации IKEv2.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Два серия SRX устройства, настроенные в кластере с шасси

  • Одно серия SRX, настроенное в качестве промежуточного маршрутизатора

  • Клиенты двух pico-ячеей

  • Один RADIUS сервер, настроенный с информацией о предоставлении pico cell client

  • Junos OS версии 12.1X46-D10 для поддержки полезной нагрузки конфигурации IKEv2 или более поздней

Обзор

В данном примере серия SRX с помощью функции полезной информации конфигурации IKEv2 для распространения информации о предоставлении данных в серию pico-ячеек. Ячейки pico отгрузкаются с фабрики со стандартной конфигурацией, которая позволяет им подключаться к серия SRX, но информация о pico cell provisioning хранится на внешнем RADIUS сервере. Pico-ячейки получают всю информацию о предоставлении данных после установления защищенных соединений с серверами, истощив их в защищенную сеть. Полезное количество конфигурации IKEv2 поддерживается как для IPv4, так и для IPV6. В данном примере описывается полезное количество конфигурации IKEv2 для IPv4, однако также можно настроить адреса IPv6.

Начиная с Junos OS выпуска 20.3R1, мы поддерживаем полезное количество конфигурации IKEv2 IPv6 для назначения адреса IPv6 на линии SRX5000 устройств, работающих в iked процессе. Та же поддержка включена в vSRX процесса iked, начиная с Junos OS 21.1R1.

Рис. 1 показывает топологию, в которой серия SRX с помощью функции полезной нагрузки конфигурации IKEv2.

Рис. 1: серия SRX обеспечения инклюзаации ячеек Pico с помощью конфигурации IKEv2 полезная нагрузка серия SRX обеспечения инклюзаации ячеек Pico с помощью конфигурации IKEv2 полезная нагрузка

Каждая pico ячейка в этой топологии инициирует две СЕТИ VPN IPsec: один для управления, другой для данных. В данном примере трафик управления использует туннель с маркировкой OAM, в то время как трафик данных проходит через туннель 3GPP. Каждый туннель поддерживает подключения с серверами обеспечения безопасности OAM и 3GPP в отдельных настраиваемых сетях, для которых требуются отдельные экземпляры маршрутов и VPN. В данном примере IKE фазы 1 и фазы 2 для установления VPN OAM и 3GPP.

В этом примере серия SRX качестве сервера полезной нагрузки конфигурации IKEv2, приобретая искомую информацию от RADIUS сервера и предоставляя ее клиентам pico cell. Клиент серия SRX информацию о предоставлении для каждого авторизованного клиента в полезной нагрузке конфигурации IKEv2 во время согласования туннеля. Устройство серия SRX использоваться в качестве клиентского устройства.

Кроме того, серия SRX данные конфигурации IKEv2 для обновления значений инициатора выбора трафика (TSi) и ответчика Traffic Selector (TSr) при обмене с клиентом во время согласования туннеля. В полезной нагрузке конфигурации используются значения TSi и TSr, настроенные на серия SRX с помощью утверждения на уровне proxy-identityedit security ipsec vpn vpn-name ike [] иерархии. Значения TSi и TSr определяют сетевой трафик для каждой VPN.

Промежуточный маршрутизатор передает трафик pico cell на соответствующие интерфейсы серия SRX.

В следующем процессе описывается последовательность соединений:

  1. Пиковая ячейка инициирует туннель IPsec с серия SRX с помощью заводской конфигурации.

  2. Клиент серия SRX аутентификацией, используя сведения о сертификате клиента и корневой сертификат CA, зарегистрированный в серия SRX. После аутентификации серия SRX аутентификацию IKE идентификацию из сертификата клиента на RADIUS в запросе авторизации.

  3. Уполномоив клиента, RADIUS сервер отвечает серия SRX клиентом:

    • IP-адрес (значение TSi)

    • Маска IP-подсети (необязательная; значение по умолчанию — 32 бита)

    • DNS-адрес (необязательно)

  4. Конечный серия SRX возвращает сведения о предоставлении в полезной нагрузке конфигурации IKEv2 для каждого подключения клиента и обменивается окончательными значениями TSi и TSr с помощью ячеек pico. В данном примере программа серия SRX данные TSi и TSr для каждого VPN:

    VPN-подключение

    Значения TSi/TSr, предоставленные SRX

    Pico 1 OAM

    Tsi: 12.12.1.201/32, TSr: 192.168.2.0/24

    Pico 1 3GPP

    Tsi: 13.13.1.201/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16

    Pico 2 OAM

    Tsi: 12.12.1.205/32, TSr: 192.168.2.0/24

    Pico 2 3GPP

    Tsi: 13.13.1.205/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16

    Если информация о предоставлении, предоставленная сервером RADIUS, содержит маску подсети, серия SRX возвращает второе значение TSr для подключения клиента, которое включает IP-подсеть. Это включает внутриповую связь для устройств в данной подсети. В данном примере внутрилиберная связь включена для подсети, связанной с сетью VPN 3GPP (13.13.0.0/16).

    Функция полезной нагрузки конфигурации IKEv2 поддерживается как для интерфейсов point-to-multipoint secure tunnel (st0), так и для интерфейсов "точка-точка". Для интерфейсов двух точек интерфейса необходимо про нумеровать, а адреса, предоставленные в конфигурации полезной нагрузки, должны в пределах диапазона подсетей связанного интерфейса "точка-многоточки".

    Начиная с Junos OS 20.1R1, мы поддерживаем функцию полезной нагрузки конфигурации IKEv2 с интерфейсами "точка-точка" на линиях устройств SRX5000 и vSRX iked.

Табл. 6 отображает параметры фазы 1 и 2, настроенные на серия SRX, включая информацию для установления туннелей OAM и 3GPP.

Табл. 6: Параметры фазы 1 и 2 для серия SRX

Параметр

Значение

IKE:

Имя предложения

IKE_PROP

Метод аутентификации

Цифровые сертификаты RSA

Группа Diffie-Hellman (DH)

group5

Алгоритм аутентификации

SHA-1

Алгоритм шифрования

AES 256 CBC

IKE политики:

IKE policy name

IKE_POL

Локальный сертификат

Example_SRX

IKE шлюз (OAM):

IKE политики

IKE_POL

Удаленный IP-адрес

Динамический

IKE тип пользователя

group-ike-id

Локальный IKE ID

имя хоста srx_series.example.net

Удаленный IKE ID

имя хоста .pico_cell.net

Внешний интерфейс

reth0.0

Профиль доступа

radius_pico

IKE версии

v2-only

IKE шлюз (3GPP)

IKE политики

IKE_POL

Удаленный IP-адрес

Динамический

IKE тип пользователя

group-ike-id

Локальный IKE ID

отличительно-именовательная поддубная OU=srx_series

Удаленный IKE ID

отличительно-именуемая поднабная OU=pico_cell

Внешний интерфейс

reth1

Профиль доступа

radius_pico

IKE версии

v2-only

Предложение IPsec:

Имя предложения

IPSEC_PROP

Протокол

Esp

Алгоритм аутентификации

HMAC SHA-1 96

Алгоритм шифрования

AES 256 CBC

Политика IPsec:

Имя политики

IPSEC_POL

Ключи для идеальной разглашной секретности (PFS)

group5

Предложения IPsec

IPSEC_PROP

VPN IPsec (OAM):

Интерфейс привязки

st0.0

IKE шлюз

OAM_GW

Локальный идентификатор прокси

192.168.2.0/24

Удаленная идентификация прокси-сервера

0.0.0.0/0

Политика IPsec

IPSEC_POL

VPN IPsec (3GPP):

Интерфейс привязки

st0.1

IKE шлюз

3GPP_GW

Локальный идентификатор прокси

192.169.2.0/24

Удаленная идентификация прокси-сервера

0.0.0.0/0

Политика IPsec

IPSEC_POL

Сертификаты хранятся в ячейках pico и серия SRX.

В данном примере для всех устройств используется политика безопасности по умолчанию, разрешаемая весь трафик. Для производственной среды следует настроить более ограничивающие политики безопасности. См. Обзор политик безопасности.

Конфигурации

Настройка серия SRX

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Для настройки серия SRX:

  1. Настройте кластер шасси.

  2. Настройте интерфейсы.

  3. Настройте параметры маршрутов.

  4. Укажите зоны безопасности.

  5. Создайте RADIUS профиль.

  6. Настройте параметры фазы 1.

  7. Укажите параметры фазы 2.

  8. Укажите экземпляры маршрутов.

  9. Укажите политики безопасности для разрешения трафика между узлами.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода команд show chassis cluster , , , , , , , show interfacesshow security zonesshow access profile radius_picoshow security ikeshow security ipsecshow routing-instancesshow security policies и. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка промежуточного маршрутизатора

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.

Для настройки промежуточного маршрутизатора:

  1. Настройте интерфейсы.

  2. Настройте параметры маршрутов.

  3. Укажите зоны безопасности.

  4. Укажите политики безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zonesshow security policies команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка Pico Cell (Пример конфигурации)

Пошаговая процедура

Информация о pico ячейке в этом примере предоставлена для справки. Подробные сведения о конфигурации pico cell не выходят за рамки этого документа. Конфигурация pico cell factory должна включать в себя следующую информацию:

  • Локальный сертификат (X.509v3) и IKE идентификации

  • Значения селектора трафика (TSi, TSr), установленные в значение any/any (0.0.0.0/0)

  • серия SRX IKE идентификации и публичный IP-адрес

  • Предложения фазы 1 и 2, которые соответствуют конфигурации серия SRX фазы

Pico-ячейки в этом примере используют программное обеспечение с открытым исходным кодом для VPN-подключений на основе IPsec. Эта информация используется серия SRX для инклюзивности ячеек pico с помощью функции полезной нагрузки конфигурации IKEv2. В сетях, в которых развертывается множество устройств, конфигурация pico cell может быть идентичной, за исключением сведений сертификата (leftcert) и идентификации (leftid). Следующие примеры конфигураций иллюстрируют заводские настройки.

  1. Просмотрите конфигурацию Pico 1:

    Pico 1: Пример конфигурации

  2. Просмотрите конфигурацию Pico 2:

    Пример конфигурации Pico 2

Настройка сервера RADIUS (пример конфигурации с помощью FreeRADIUS)

Пошаговая процедура

Информация RADIUS сервера в этом примере предоставлена для справки. Полная RADIUS конфигурации сервера не является темой данного документа. Следующая информация возвращается серверу серия SRX сервер RADIUS у:

  • Framed-IP-адрес

  • Framed-IP-Netmask (необязательно)

  • Primary-DNS и Secondary-DNS (необязательно)

В этом примере сервер RADIUS информацию об отдельных и обеспечения для подключений OAM и 3GPP. Имя пользователя взято из сведений о сертификате клиента, предоставленных в серия SRX авторизации.

Если сервер RADIUS получает информацию о предоставлении клиентов от DHCP-сервера, то данные о клиентских идентификаторах, переданные DHCP-серверу RADIUS сервером, должны соответствовать информации IKE, передаемой серверу RADIUS устройством серия SRX. Это обеспечивает непрерывное идентификацию клиента для различных протоколов.

Канал связи между серия SRX и RADIUS сервером защищен общим RADIUS секретным секретом.

  1. Просмотрите конфигурацию RADIUS для OAM Pico 1. Сервер RADIUS имеет следующую информацию:

    Пример RADIUS конфигурации в Junos OS выпусках 12.3X48 и Junos OS до 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:

    Пример конфигурации FreeRADIUS:

    Пример RADIUS, начиная с Junos OS версий 15.X49-D161 , 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:

    Пример конфигурации FreeRADIUS:

    В данном случае сервер RADIUS маску подсети по умолчанию (255.255.255.255), которая блокирует внутрилинии трафика.

  2. Просмотрите конфигурацию RADIUS для Сети VPN Pico 1 3GPP. Сервер RADIUS имеет следующую информацию:

    Пример RADIUS конфигурации в Junos OS выпусках 12.3X48 и Junos OS до 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:

    Пример конфигурации FreeRADIUS:

    Пример RADIUS, начиная с Junos OS версий 15.X49-D161 , 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:

    Пример конфигурации FreeRADIUS:

    В этом случае сервер RADIUS предоставляет значение маски подсети (255.255.0.0), которое активизирует внутрипенный трафик.

    Начиная с Junos OS 20.1R1, можно настроить общий пароль для запросов полезной нагрузки конфигурации IKEv2 для IKE шлюза. Общий пароль в диапазоне от 1 до 128 символов позволяет администратору определить общий пароль. Этот пароль используется между устройством серия SRX и RADIUS, когда серия SRX запрашивает IP-адрес от имени удаленного одноранговых узла IPsec при помощи полезной нагрузки конфигурации IKEv2. RADIUS сервер проверяет учетные данные перед тем, как он предоставляет любая IP-информация устройству серия SRX устройству для запроса полезной нагрузки конфигурации. Можно настроить общий пароль, используя утверждение config-payload-password configured-password конфигурации на [edit security ike gateway gateway-name aaa access-profile access-profile-name] уровне иерархии. Кроме того, в данном примере из одного сертификата клиента создаются два туннеля с использованием различных частей сертификата для идентификации пользователя (IKE идентификации).

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка состояния IKE 1-го этапа для серия SRX

Цель

Проверьте состояние IKE 1.

Действий

В рабочем режиме на узле 0 введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазы 1 с устройствами pico-ячеек. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. В этом примере показана только IKE фаза 1 SA для OAM VPN; однако будет отобра IKE фаза 1 SA, показывающие IKE фазе 1 для 3GPP VPN.

Если список есть в списке, просмотрите следующую информацию:

  • Индекс . Это значение уникально для каждой IKE SA: эту команду можно show security ike security-associations index detail использовать для получения дополнительной информации об SA.

  • Удаленный адрес — проверьте правильность локального IP-адреса и что порт 500 используется для одноранговой связи.

  • Состояние ответчика роли:

    • Up — sa фаза 1 установлена.

    • Down . Возникла проблема при установлении SA фазы 1.

  • Peer (remote) IKE ID — проверьте правильность сведений о сертификате.

  • Локализованная идентификация и удаленная идентификация — проверьте правильность этих адресов.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь в правильности пунктов конфигурации:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакеты)

  • IKE политики

  • Параметры предложения фазы 1 (должны совпадать между равноправными узлами)

В show security ike security-associations этой команде перечислены дополнительные сведения о ассоциациях безопасности:

  • Используемые алгоритмы аутентификации и шифрования

  • Период действия на 1-м этапе

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число согласования фазы 2 в стадии выполнения

Проверка ассоциаций безопасности IPsec для серия SRX

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме на узле 0 введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations detail эту команду.

Смысл

В этих примерах показан активный IKE фазе 2, что касается Pico 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 2. Проверьте параметры политики IPsec в конфигурации. Для каждой фазы 2 SA (OAM и 3GPP) информация предоставляется как в направлении входящие, так и исходящие. В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Ip-адрес удаленного шлюза - 1.1.1.1.

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3529/указывает на то, что срок действия второго этапа истекает через 3529 секунд и что срок действия не определен, что означает, что оно не ограничено. Период действия второго этапа может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

Вышеопроизводимые show security ipsec security-associations index index_id detail выходные данные команды перечисляют следующую информацию:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.

  • Используются алгоритмы аутентификации и шифрования.

  • Параметры предложения фазы 2 (должны совпадать между равноправными узлами).

  • Защищенный туннель (st0.0 и st0.1) связывается с шлюзами OAM и 3GPP.

IKE политики с доверенным CA

В этом примере показано, как связать доверенного CA серверу с IKE политики одноранговых узла.

Перед началом работы необходимо иметь список всех доверенных ЦС, которые необходимо связать с политикой IKE равноправного узла.

Политику можно ассоциировать IKE с одним доверенным CA профилем или CA группой. Для установления безопасного соединения шлюз IKE использует политику IKE, чтобы ограничиться настроенной группой ЦС (ca-profiles) при проверке сертификата. Сертификат, выданный любым другим источником, кроме CA или CA группы, не подтверждается. Если имеется запрос на подтверждение сертификата, исходя из IKE, связанный с CA профиля этой политики IKE проверяет сертификат. Если политика IKE не связана с какой-либо CA, то сертификат по умолчанию проверяется любым из настроенных CA профилей.

В данном примере CA создается root-ca профиль с именем root-ca-identity a, связанное с профилем.

Можно настроить не более 20 профилей CA которые необходимо добавить в доверную CA группу. Конфигурацию нельзя сфиксировать, если настроено более 20 CA в надежной CA группы.

  1. Создайте профиль CA и примем идентификатор CA к профилю.
  2. Определите IKE и метод аутентификации IKE предложения.
  3. Определите группу Diffie-Hellman, алгоритм аутентификации, алгоритм шифрования для IKE предложения.
  4. Настройте политику IKE и связать ее с предложением IKE стратегией.
  5. Настройте идентификатор локального сертификата для IKE политики.
  6. Определите CA, который будет использоваться для IKE политики.

Для просмотра профилей CA и доверенных CA, настроенных на устройстве, show security pki запустите команду.

Команда отображает группу CA профилей под IKE именем сертификата, связанного с IKE show security ikeike_policy политиками.