VPN на основе маршрутов с IKEv2
Internet Key Exchange 2 (IKEv2) — это протокол туннелирования на основе IPsec, который обеспечивает безопасный канал связи VPN между равноправными VPN-устройствами и определяет согласование и аутентификацию для ассоциаций безопасности IPsec (SAs) защищенным способом.
Примере: Настройка СЕТИ VPN на основе маршрутов для IKEv2
В данном примере показано, как настроить IPsec VPN на основе маршрутов, чтобы обеспечить надежную передачу данных между филиалом и корпоративной фирмой.
Требования
В данном примере используется следующее оборудование:
SRX240
Устройство SSG140
Перед началом прочитайте Обзор IPsec .
Обзор
В этом примере VPN на основе маршрутов настраивается для филиала филиала в другой сети (в зависимости от конфигурации), так как необходимо сохранить ресурсы туннеля, но при этом получить гранулярные ограничения на трафик VPN. Пользователи в офисе "Коу" используют VPN для подключения к своим корпоративным офисам в г. Саннивейл, Калифорния.
В данном примере настраиваются интерфейсы, маршрут по умолчанию IPv4, зоны безопасности и адресные книги. Затем необходимо настроить IKE фазу 1, фазу 2 IPsec, политику безопасности и параметры TCP-MSS. См. Табл. 1Табл. 5 конкретные параметры конфигурации, используемые в данном примере.
Возможность |
Имя |
Параметры конфигурации |
---|---|---|
Интерфейсы |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
|
st0.0 (туннельный интерфейс) |
10.11.11.10/24 |
|
Статичные маршруты |
0.0.0.0/0 (маршрут по умолчанию) |
Следующий переход – 10.1.1.1. |
192.168.168.0/24 |
Следующий переход - st0.0. |
|
Зоны безопасности |
Доверять |
|
неторгуемая |
|
|
VPN-раз |
Интерфейс st0.0 привязан к этой зоне. |
|
Записи адресной книги |
Саннивейл |
|
Чикаго |
|
Возможность |
Имя |
Параметры конфигурации |
---|---|---|
Предложение |
ike-phase1-proposal |
|
Политики |
ike-phase1-policy |
|
Шлюза |
gw- |
|
Возможность |
Имя |
Параметры конфигурации |
---|---|---|
Предложение |
ipsec-phase2-proposal |
|
Политики |
ipsec-phase2-policy |
|
Vpn |
ipsec-vpn- |
|
Цель |
Имя |
Параметры конфигурации |
---|---|---|
Политика безопасности разрешает трафик из зоны доверия в VPN-зону. |
VPN-tr-chi |
|
Политика безопасности разрешает трафик из VPN-зоны в доверную зону. |
VPN-chi-tr |
|
Цель |
Параметры конфигурации |
---|---|
TCP-MSS согласовываться как часть трехавтного TCP-связи и ограничивает максимальный размер сегмента TCP, чтобы лучше соответствовать MTU ограничениям в сети. Для трафика VPN накладные расходы на инкапсуляцию IPsec, а также накладные расходы на IP и кадр, могут привести к тому, что итоговый пакет ESP превышает MTU физического интерфейса, что вызывает фрагментацию. Фрагментация увеличивает полосу пропускания и ресурсы устройств. Рекомендуется использовать значение 1350 в качестве начальной точки для большинства сетей на основе Ethernet с MTU 1500 и более. Для получения оптимальной производительности может потребоваться экспериментировать с различными значениями TCP-MSS. Например, может потребоваться изменить значение, если любое устройство на пути обладает более низким MTU или если имеются дополнительные накладные расходы, такие как PPP или Frame Relay. |
Значение MSS: 1350 |
Конфигурации
- Настройка интерфейса, статического маршрута, зоны безопасности и адресной книги
- Настройка IKE
- Настройка IPsec
- Настройка политик безопасности
- Настройка TCP-MSS
- Настройка устройства серия SSG
Настройка интерфейса, статического маршрута, зоны безопасности и адресной книги
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust address-book address sunnyvale 192.168.10.0/24 set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago address-book address chicago 192.168.168.0/24
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Настройка интерфейса, статического маршрута, зоны безопасности и адресной книги:
Настройте сведения об интерфейсе Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Настройте сведения о статическом маршруте.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@host# set routing-options static route 192.168.168.0/24 next-hop st0.0
Настройте неверную зону безопасности.
[edit ] user@host# edit security zones security-zone untrust
Назначьте интерфейс зоне безопасности.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
Указание разрешенных системных служб для зоны безопасности.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
Настройка зоны безопасности доверия.
[edit] user@host# edit security zones security-zone trust
Назначьте интерфейс для зоны безопасности доверия.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
Указание разрешенных системных служб для зоны безопасности доверия.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Настройте запись адресной книги для зоны доверия.
[edit security zones security-zone trust] user@host# set address-book address sunnyvale 192.168.10.0/24
Настройте зону безопасности VPN-zone.
[edit] user@host# edit security zones security-zone vpn-chicago
Назначьте интерфейс зоне безопасности.
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0
Настройте запись адресной книги для зоны VPN-разархив.
[edit security zones security-zone vpn-chicago] user@host# set address-book address chicago 192.168.168.0/24
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces
команд show routing-options
и show security zones
команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.10.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 10.1.1.2/30 } } } st0{ unit 0 { family inet { address 10.11.11.10/24 } } }
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
address-book {
address sunnyvale 192.168.10.0/24;
}
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
address-book {
address chicago 192.168.168.0/24;
}
}
interfaces {
st0.0;
}
}
После настройки устройства войдите в commit
режим конфигурации.
Настройка IKE
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-chicago external-interface ge-0/0/3.0 set security ike gateway gw-chicago ike-policy ike-phase1-policy set security ike gateway gw-chicago address 10.2.2.2 set security ike gateway gw-chicago version v2-only
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Для настройки IKE:
Создайте предложение IKE фазе 1.
[edit security ike] user@host# set proposal ike-phase1-proposal
Определите метод IKE предложения.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-method pre-shared-keys
Определите IKE группы Diffie-Hellman.
[edit security ike proposal ike-phase1-proposal] user@host# set dh-group group2
Определите алгоритм IKE предложения.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-algorithm sha1
Определите алгоритм IKE предложения.
[edit security ike proposal ike-phase1-proposal] user@host# set encryption-algorithm aes-128-cbc
Создайте политику IKE фазе 1.
[edit security ike] user@host# set policy ike-phase1-policy
Укажите ссылку на предложение IKE.
[edit security ike policy ike-phase1-policy] user@host# set proposals ike-phase1-proposal
Определите метод IKE политики фазы 1.
[edit security ike policy ike-phase1-policy] user@host# set pre-shared-key ascii-text “$ABC123”
Создайте шлюз IKE фазы 1 и определите его внешний интерфейс.
[edit security ike] user@host# set gateway gw-chicago external-interface ge-0/0/3.0
Определите опорный IKE политики фазы 1.
[edit security ike gateway gw-chicago] user@host# set ike-policy ike-phase1-policy
Определите IKE шлюза фазы 1.
[edit security ike gateway gw-chicago] user@host# set address 10.2.2.2
Определите IKE шлюза фазы 1.
[edit security ike gateway gw-chicago] user@host# set version v2-only
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show security ike
команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit]
user@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
После настройки устройства войдите в commit
режим конфигурации.
Настройка IPsec
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn ipsec-vpn-chicago ike gateway gw-chicago set security ipsec vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy set security ipsec vpn ipsec-vpn-chicago bind-interface st0.0
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Настройка IPsec:
Создайте предложение IPsec фазы 2.
[edit] user@host# set security ipsec proposal ipsec-phase2-proposal
Укажите протокол предложения IPsec на 2-м этапе.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set protocol esp
Укажите алгоритм аутентификации предложения IPsec на 2-м этапе.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set authentication-algorithm hmac-sha1-96
Укажите алгоритм шифрования предложения IPsec на 2-м этапе.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set encryption-algorithm aes-128-cbc
Создайте политику IPsec на 2-м этапе.
[edit security ipsec] user@host# set policy ipsec-phase2-policy
Укажите справочник предложений IPsec фазы 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set proposals ipsec-phase2-proposal
Укажите IPsec Фаза 2 PFS, чтобы использовать группу 2 Diffie-Hellman.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Укажите IKE шлюза.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike gateway gw-chicago
Укажите политику IPsec на 2-м этапе.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy
Укажите интерфейс для привязки.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago bind-interface st0.0
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show security ipsec
команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit]
user@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ipsec-vpn-chicago {
bind-interface st0.0;
ike {
gateway gw-chicago;
ipsec-policy ipsec-phase2-policy;
}
}
После настройки устройства войдите в commit
режим конфигурации.
Настройка политик безопасности
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match source-address sunnyvale set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match destination-address chicago set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match application any set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi then permit set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match source-address chicago set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match destination-address sunnyvale set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match application any set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr then permit
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Конфигурировать политики безопасности:
Создайте политику безопасности, чтобы разрешить трафик из зоны доверия в vpn-зону.
[edit security policies from-zone trust to-zone vpn-chicago] user@host# set policy vpn-tr-chi match source-address sunnyvale user@host# set policy vpn-tr-chi match destination-address chicago user@host# set policy vpn-tr-chi match application any user@host# set policy vpn-tr-chi then permit
Создайте политику безопасности для разрешения трафика из VPN-зоны в доверную зону.
[edit security policies from-zone vpn-chicago to-zone trust] user@host# set policy vpn-chi-tr match source-address sunnyvale user@host# set policy vpn-chi-tr match destination-address chicago user@host# set policy vpn-chi-tr match application any user@host# set policy vpn-chi-tr then permit
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show security policies
команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit] user@host# show security policies from-zone trust to-zone vpn-chicago { policy vpn-tr-vpn { match { source-address sunnyvale; destination-address chicago; application any; } then { permit; } } } from-zone vpn-chicago to-zone trust { policy vpn-tr-vpn { match { source-address chicago; destination-address sunnyvale; application any; } then { permit; } } }
После настройки устройства войдите в commit
режим конфигурации.
Настройка TCP-MSS
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security flow tcp-mss ipsec-vpn mss 1350
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.
Настройка данных TCP-MSS:
Настройка данных TCP-MSS.
[edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show security flow
команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit] user@host# show security flow tcp-mss { ipsec-vpn { mss 1350; } }
После настройки устройства войдите в commit
режим конфигурации.
Настройка устройства серия SSG
интерфейс командной строки быстрой конфигурации
Для справки представлена конфигурация серия SSG устройства. Сведения о настройке серия SSG см. в справочнике по концепции и примерам справочного руководства ScreenOS,расположенном на https://www.juniper.net/documentation.
Для быстрой настройки этого раздела примера, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit]
commit конфигурации.
set zone name vpn-chicago set interface ethernet0/6 zone Trust set interface ethernet0/0 zone Untrust set interface tunnel.1 zone vpn-chicago set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address Trust “192.168.168-net” 192.168.168.0 255.255.255.0 set address vpn-chicago "192.168.10-net" 192.168.10.0 255.255.255.0 set ike gateway corp-ike address 10.1.1.2 IKEv2 outgoing-interface ethernet0/0 preshare 395psksecr3t sec-level standard set vpn corp-vpn gateway corp-ike replay tunnel idletime 0 sec-level standard set vpn corp-vpn monitor optimized rekey set vpn corp-vpn bind interface tunnel.1 set policy from Trust to Untrust “ANY” “ANY” “ANY” nat src permit set policy from Trust to vpn-chicago “192.168.168-net” “192.168.10-net” “ANY” permit set policy from vpn-chicago to Trust “192.168.10-net” “192.168.168-net” “ANY” permit set route 192.168.10.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Проверки
Подтвердим, что конфигурация работает правильно.
- Проверка состояния IKE 1-м этапе
- Проверка состояния фазы 2 IPsec
- Просмотр статистики и ошибок для ассоциации безопасности IPsec
- Проверка потока трафика через VPN
Проверка состояния IKE 1-м этапе
Цель
Проверьте состояние IKE 1.
Действий
Перед началом процесса проверки необходимо отправить трафик с хоста в сети 192.168.10/24 на хост в сети 192.168.168/24. Для VPN на основе маршрутов трафик может быть инициирован серия SRX через туннель. Рекомендуется при тестировании туннелей IPsec тестировать трафик с отдельного устройства на одной стороне VPN на второе устройство на другой стороне VPN. Например, инициировать ping с 192.168.10.10 по 192.168.168.10.
В рабочем режиме введите show security ike security-associations
команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail
эту команду.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 10.2.2.2 UP 744a594d957dd513 1e1307db82f58387 IKEv2
user@host> show security ike security-associations index 1 detail IKE peer 10.2.2.2, Index 1, Role: Responder, State: UP Initiator cookie: 744a594d957dd513, Responder cookie: 1e1307db82f58387 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 28570 seconds Algorithms: Authentication : sha1 Encryption : aes-cbc (128 bits) Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 852 Output bytes : 940 Input packets : 5 Output packets : 5 Flags: Caller notification sent IPSec security associations: 1 created, 0 deleted
Смысл
Команда show security ike security-associations
перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.
Если список есть в списке, просмотрите следующую информацию:
Index. Это значение уникально для IKE SA, которое можно использовать в команде для
show security ike security-associations index detail
получения дополнительной информации об SA.Remote Address (Удаленный адрес) — проверьте правильность удаленного IP-адреса.
Штат
UP — sa фаза 1 установлена.
DOWN — создание sa фазы 1 возникла проблема.
Mode — убедитесь, что используется правильный режим.
Убедитесь, что в конфигурации правильно следующее:
Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов).
IKE параметры политики.
Предварительные сведения о ключе.
Параметры предложения фазы 1 (должны совпадать на обоих одноранговых узлах).
Эта show security ike security-associations index 1 detail
команда перечисляет дополнительную информацию об SA с индексным номером 1:
Используемые алгоритмы аутентификации и шифрования
Период действия на 1-м этапе
Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)
Сведения о роли
Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.
Информация о инициаторе и ответчике
Число созданных IPsec SAs
Проверка состояния фазы 2 IPsec
Цель
Проверьте состояние фазы 2 IPsec.
Действий
В рабочем режиме введите show security ipsec security-associations
команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail
эту команду.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 76d64d1d 3363/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 a1024ee2 3363/ unlim - 0
user@host> show security ipsec security-associations index 16384 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) Version: IKEv2 DF-bit: clear Direction: inbound, SPI: 1993755933, AUX-SPI: 0 Hard lifetime: Expires in 3352 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2775 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 2701283042, AUX-SPI: 0 Hard lifetime: Expires in 3352 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2775 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Anti-replay service: enabled, Replay window size: 32
Смысл
В выходных данных show security ipsec security-associations
команды перечислены следующие сведения:
Номер ID – 16384. Используйте это значение вместе
show security ipsec security-associations index
с командой, чтобы получить дополнительные сведения об этой конкретной SA.Существует одна пара SA IPsec, использующая порт 500.
ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3363/unlim означает, что срок действия фазы 2 истекает через 3363 секунды и что срок действия не определен, что означает отсутствие ограничений. Период действия фазы 2 может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.
Vsys является корневой системой, и всегда перечислены как 0.
IKEv2 разрешает подключения от узла версии 2 и инициирует согласование версии 2.
В выходных данных show security ipsec security-associations index 16384 detail
команды перечислены следующие сведения:
Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.
Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.
Другая распространенная причина сбоя второго этапа - не указание привязки интерфейса ST. Если IPsec не может завершиться, проверьте параметры журнала "kmd" или установите параметры трассировки.
Просмотр статистики и ошибок для ассоциации безопасности IPsec
Цель
Просмотрите счетчики ESP и загона аутентификации и ошибки для SA IPsec.
Действий
В рабочем режиме введите команду, используя индексный номер VPN, для которого show security ipsec statistics index index_number
необходимо получить статистику.
user@host> show security ipsec statistics index 16384 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Эту команду можно также использовать для просмотра статистики и show security ipsec statistics
ошибок для всех SAS.
Для очистки всей статистики IPsec используйте clear security ipsec statistics
эту команду.
Смысл
При проблемах потери пакетов в сети VPN можно выполнить команду или несколько раз, чтобы подтвердить, что счетчики зашифрованных и расшифровавающих пакетов только show security ipsec statistics
show security ipsec statistics detail
приращены. Следует также проверить, что остальные счетчики ошибок приращены.
Проверка потока трафика через VPN
Цель
Проверьте поток трафика через VPN.
Действий
Эту команду можно использовать с самого серия SRX для проверки ping
потока трафика на удаленный пк хоста. Убедитесь, что задавалось интерфейс источника, чтобы во время осмотра политики были указаны правильные зоны безопасности.
В рабочем режиме введите ping
команду.
ssg-> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Эту команду также можно ping
использовать с серия SSG устройства.
user@host> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Смысл
Если команда не работает с серия SRX или серия SSG, то может возникнуть проблема с маршрутизацией, политиками безопасности, конечным хостом или шифрованием и расшифровки ping
пакетов ESP.
Примере: Настройка серия SRX ячеек Pico с помощью конфигурации IKEv2 полезная нагрузка
В сетях, в которых развертывается множество устройств, управление сетью должно быть простым. Функция полезной информации конфигурации IKEv2 поддерживает искомые устройства, не прикасаясь ни к конфигурации устройства, ни серия SRX конфигурации. В данном примере показано, как настроить серия SRX для поддержки инклюзивности pico ячеек с помощью функции полезной нагрузки конфигурации IKEv2.
Требования
В данном примере используются следующие аппаратные и программные компоненты:
Два серия SRX устройства, настроенные в кластере с шасси
Одно серия SRX, настроенное в качестве промежуточного маршрутизатора
Клиенты двух pico-ячеей
Один RADIUS сервер, настроенный с информацией о предоставлении pico cell client
Junos OS версии 12.1X46-D10 для поддержки полезной нагрузки конфигурации IKEv2 или более поздней
Обзор
В данном примере серия SRX с помощью функции полезной информации конфигурации IKEv2 для распространения информации о предоставлении данных в серию pico-ячеек. Ячейки pico отгрузкаются с фабрики со стандартной конфигурацией, которая позволяет им подключаться к серия SRX, но информация о pico cell provisioning хранится на внешнем RADIUS сервере. Pico-ячейки получают всю информацию о предоставлении данных после установления защищенных соединений с серверами, истощив их в защищенную сеть. Полезное количество конфигурации IKEv2 поддерживается как для IPv4, так и для IPV6. В данном примере описывается полезное количество конфигурации IKEv2 для IPv4, однако также можно настроить адреса IPv6.
Начиная с Junos OS выпуска 20.3R1, мы поддерживаем полезное количество конфигурации IKEv2 IPv6 для назначения адреса IPv6 на линии SRX5000 устройств, работающих в iked процессе. Та же поддержка включена в vSRX процесса iked, начиная с Junos OS 21.1R1.
Рис. 1 показывает топологию, в которой серия SRX с помощью функции полезной нагрузки конфигурации IKEv2.

Каждая pico ячейка в этой топологии инициирует две СЕТИ VPN IPsec: один для управления, другой для данных. В данном примере трафик управления использует туннель с маркировкой OAM, в то время как трафик данных проходит через туннель 3GPP. Каждый туннель поддерживает подключения с серверами обеспечения безопасности OAM и 3GPP в отдельных настраиваемых сетях, для которых требуются отдельные экземпляры маршрутов и VPN. В данном примере IKE фазы 1 и фазы 2 для установления VPN OAM и 3GPP.
В этом примере серия SRX качестве сервера полезной нагрузки конфигурации IKEv2, приобретая искомую информацию от RADIUS сервера и предоставляя ее клиентам pico cell. Клиент серия SRX информацию о предоставлении для каждого авторизованного клиента в полезной нагрузке конфигурации IKEv2 во время согласования туннеля. Устройство серия SRX использоваться в качестве клиентского устройства.
Кроме того, серия SRX данные конфигурации IKEv2 для обновления значений инициатора выбора трафика (TSi) и ответчика Traffic Selector (TSr) при обмене с клиентом во время согласования туннеля. В полезной нагрузке конфигурации используются значения TSi и TSr, настроенные на серия SRX с помощью утверждения на уровне proxy-identity
edit security ipsec vpn vpn-name ike
[] иерархии. Значения TSi и TSr определяют сетевой трафик для каждой VPN.
Промежуточный маршрутизатор передает трафик pico cell на соответствующие интерфейсы серия SRX.
В следующем процессе описывается последовательность соединений:
-
Пиковая ячейка инициирует туннель IPsec с серия SRX с помощью заводской конфигурации.
-
Клиент серия SRX аутентификацией, используя сведения о сертификате клиента и корневой сертификат CA, зарегистрированный в серия SRX. После аутентификации серия SRX аутентификацию IKE идентификацию из сертификата клиента на RADIUS в запросе авторизации.
-
Уполномоив клиента, RADIUS сервер отвечает серия SRX клиентом:
-
IP-адрес (значение TSi)
-
Маска IP-подсети (необязательная; значение по умолчанию — 32 бита)
-
DNS-адрес (необязательно)
-
-
Конечный серия SRX возвращает сведения о предоставлении в полезной нагрузке конфигурации IKEv2 для каждого подключения клиента и обменивается окончательными значениями TSi и TSr с помощью ячеек pico. В данном примере программа серия SRX данные TSi и TSr для каждого VPN:
VPN-подключение
Значения TSi/TSr, предоставленные SRX
Pico 1 OAM
Tsi: 12.12.1.201/32, TSr: 192.168.2.0/24
Pico 1 3GPP
Tsi: 13.13.1.201/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16
Pico 2 OAM
Tsi: 12.12.1.205/32, TSr: 192.168.2.0/24
Pico 2 3GPP
Tsi: 13.13.1.205/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16
Если информация о предоставлении, предоставленная сервером RADIUS, содержит маску подсети, серия SRX возвращает второе значение TSr для подключения клиента, которое включает IP-подсеть. Это включает внутриповую связь для устройств в данной подсети. В данном примере внутрилиберная связь включена для подсети, связанной с сетью VPN 3GPP (13.13.0.0/16).
Функция полезной нагрузки конфигурации IKEv2 поддерживается как для интерфейсов point-to-multipoint secure tunnel (st0), так и для интерфейсов "точка-точка". Для интерфейсов двух точек интерфейса необходимо про нумеровать, а адреса, предоставленные в конфигурации полезной нагрузки, должны в пределах диапазона подсетей связанного интерфейса "точка-многоточки".
Начиная с Junos OS 20.1R1, мы поддерживаем функцию полезной нагрузки конфигурации IKEv2 с интерфейсами "точка-точка" на линиях устройств SRX5000 и vSRX iked.
Табл. 6 отображает параметры фазы 1 и 2, настроенные на серия SRX, включая информацию для установления туннелей OAM и 3GPP.
Параметр |
Значение |
---|---|
IKE: | |
Имя предложения |
IKE_PROP |
Метод аутентификации |
Цифровые сертификаты RSA |
Группа Diffie-Hellman (DH) |
group5 |
Алгоритм аутентификации |
SHA-1 |
Алгоритм шифрования |
AES 256 CBC |
IKE политики: | |
IKE policy name |
IKE_POL |
Локальный сертификат |
Example_SRX |
IKE шлюз (OAM): | |
IKE политики |
IKE_POL |
Удаленный IP-адрес |
Динамический |
IKE тип пользователя |
group-ike-id |
Локальный IKE ID |
имя хоста srx_series.example.net |
Удаленный IKE ID |
имя хоста .pico_cell.net |
Внешний интерфейс |
reth0.0 |
Профиль доступа |
radius_pico |
IKE версии |
v2-only |
IKE шлюз (3GPP) | |
IKE политики |
IKE_POL |
Удаленный IP-адрес |
Динамический |
IKE тип пользователя |
group-ike-id |
Локальный IKE ID |
отличительно-именовательная поддубная OU=srx_series |
Удаленный IKE ID |
отличительно-именуемая поднабная OU=pico_cell |
Внешний интерфейс |
reth1 |
Профиль доступа |
radius_pico |
IKE версии |
v2-only |
Предложение IPsec: | |
Имя предложения |
IPSEC_PROP |
Протокол |
Esp |
Алгоритм аутентификации |
HMAC SHA-1 96 |
Алгоритм шифрования |
AES 256 CBC |
Политика IPsec: | |
Имя политики |
IPSEC_POL |
Ключи для идеальной разглашной секретности (PFS) |
group5 |
Предложения IPsec |
IPSEC_PROP |
VPN IPsec (OAM): | |
Интерфейс привязки |
st0.0 |
IKE шлюз |
OAM_GW |
Локальный идентификатор прокси |
192.168.2.0/24 |
Удаленная идентификация прокси-сервера |
0.0.0.0/0 |
Политика IPsec |
IPSEC_POL |
VPN IPsec (3GPP): | |
Интерфейс привязки |
st0.1 |
IKE шлюз |
3GPP_GW |
Локальный идентификатор прокси |
192.169.2.0/24 |
Удаленная идентификация прокси-сервера |
0.0.0.0/0 |
Политика IPsec |
IPSEC_POL |
Сертификаты хранятся в ячейках pico и серия SRX.
В данном примере для всех устройств используется политика безопасности по умолчанию, разрешаемая весь трафик. Для производственной среды следует настроить более ограничивающие политики безопасности. См. Обзор политик безопасности.
Конфигурации
- Настройка серия SRX
- Настройка промежуточного маршрутизатора
- Настройка Pico Cell (Пример конфигурации)
- Настройка сервера RADIUS (пример конфигурации с помощью FreeRADIUS)
Настройка серия SRX
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit конфигурации.
set chassis cluster reth-count 5 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 250 set chassis cluster redundancy-group 0 node 1 priority 150 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/1 weight 255 set interfaces ge-3/0/0 gigether-options redundant-parent reth0 set interfaces ge-3/0/1 gigether-options redundant-parent reth1 set interfaces ge-3/2/0 gigether-options redundant-parent reth2 set interfaces ge-3/2/1 gigether-options redundant-parent reth3 set interfaces ge-8/0/0 gigether-options redundant-parent reth0 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/2/0 gigether-options redundant-parent reth2 set interfaces ge-8/2/1 gigether-options redundant-parent reth3 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 2.2.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 3.3.3.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 192.168.2.20/24 set interfaces reth3 redundant-ether-options redundancy-group 1 set interfaces reth3 unit 0 family inet address 192.169.2.20/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 12.12.1.20/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 13.13.1.20/24 set routing-options static route 1.1.0.0/16 next-hop 2.2.2.253 set routing-options static route 5.5.0.0/16 next-hop 2.2.2.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone oam-trust host-inbound-traffic system-services all set security zones security-zone oam-trust host-inbound-traffic protocols all set security zones security-zone oam-trust interfaces reth2.0 set security zones security-zone oam-trust interfaces st0.0 set security zones security-zone 3gpp-trust host-inbound-traffic system-services all set security zones security-zone 3gpp-trust host-inbound-traffic protocols all set security zones security-zone 3gpp-trust interfaces reth3.0 set security zones security-zone 3gpp-trust interfaces st0.1 set access profile radius_pico authentication-order radius set access profile radius_pico radius-server 192.168.2.22 secret "$ABC123" set access profile radius_pico radius-server 192.168.2.22 routing-instance VR-OAM set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate example_SRX set security ike gateway OAM_GW ike-policy IKE_POL set security ike gateway OAM_GW dynamic hostname .pico_cell.net set security ike gateway OAM_GW dynamic ike-user-type group-ike-id set security ike gateway OAM_GW local-identity hostname srx_series.example.net set security ike gateway OAM_GW external-interface reth0.0 set security ike gateway OAM_GW aaa access-profile radius_pico set security ike gateway OAM_GW version v2-only set security ike gateway 3GPP_GW ike-policy IKE_POL set security ike gateway 3GPP_GW dynamic distinguished-name wildcard OU=pico_cell set security ike gateway 3GPP_GW dynamic ike-user-type group-ike-id set security ike gateway 3GPP_GW local-identity distinguished-name wildcard OU=srx_series set security ike gateway 3GPP_GW external-interface reth1.0 set security ike gateway 3GPP_GW aaa access-profile radius_pico set security ike gateway 3GPP_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec proposal IPSEC_PROP lifetime-seconds 300 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn OAM_VPN bind-interface st0.0 set security ipsec vpn OAM_VPN ike gateway OAM_GW set security ipsec vpn OAM_VPN ike proxy-identity local 192.168.2.0/24 set security ipsec vpn OAM_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn OAM_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn 3GPP_VPN bind-interface st0.1 set security ipsec vpn 3GPP_VPN ike gateway 3GPP_GW set security ipsec vpn 3GPP_VPN ike proxy-identity local 192.169.2.0/24 set security ipsec vpn 3GPP_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn 3GPP_VPN ike ipsec-policy IPSEC_POL set routing-instances VR-OAM instance-type virtual-router set routing-instances VR-OAM interface reth2.0 set routing-instances VR-OAM interface st0.0 set routing-instances VR-3GPP instance-type virtual-router set routing-instances VR-3GPP interface reth3.0 set routing-instances VR-3GPP interface st0.1 set security policies default-policy permit-all
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.
Для настройки серия SRX:
Настройте кластер шасси.
[edit chassis cluster] user@host# set reth-count 5 user@host# set node 0 user@host# set node 1 user@host#set redundancy-group 0 node 0 priority 250 user@host#set redundancy-group 0 node 1 priority 150 user@host#set redundancy-group 1 node 0 priority 220 user@host#set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-3/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/1 weight 255
Настройте интерфейсы.
[edit interfaces] user@host# set ge-3/0/0 gigether-options redundant-parent reth0 user@host# set ge-3/0/1 gigether-options redundant-parent reth1 user@host# set ge-3/2/0 gigether-options redundant-parent reth2 user@host# set ge-3/2/1 gigether-options redundant-parent reth3 user@host# set ge-8/0/0 gigether-options redundant-parent reth0 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/2/0 gigether-options redundant-parent reth2 user@host# set ge-8/2/1 gigether-options redundant-parent reth3 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 2.2.2.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 3.3.3.1/24 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth2 unit 0 family inet address 192.168.2.20/24 user@host# set reth3 redundant-ether-options redundancy-group 1 user@host# set reth3 unit 0 family inet address 192.169.2.20/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 12.12.1.20/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 13.13.1.20/24
Настройте параметры маршрутов.
[edit routing-options] user@host# set static route 1.1.0.0/16 next-hop 2.2.2.253 user@host# set static route 5.5.0.0/16 next-hop 2.2.2.253
Укажите зоны безопасности.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces reth0.0 user@host# set interfaces reth1.0 [edit security zones security-zone oam-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth2.0 user@host# set interfaces st0.0 [edit security zones security-zone 3gpp-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth3.0 user@host# set interfaces st0.1
Создайте RADIUS профиль.
[edit access profile radius_pico] user@host# set authentication-order radius user@host# set radius-server 192.168.2.22 secret “$ABC123” user@host# set radius-server 192.168.2.22 routing-instance VR-OAM
Настройте параметры фазы 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate example_SRX [edit security ike gateway OAM_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname .pico_cell.net user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity hostname srx.example.net user@host# set external-interface reth0.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only [edit security ike gateway 3GPP_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=pico_cell user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name wildcard OU=srx_series user@host# set external-interface reth1.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only
Укажите параметры фазы 2.
[edit set security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn OAM_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway OAM_GW user@host# set ike proxy-identity local 192.168.2.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL [edit security ipsec vpn 3GPP_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway 3GPP_GW user@host# set ike proxy-identity local 192.169.2.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL
Укажите экземпляры маршрутов.
[edit routing-instances VR-OAM] user@host# set instance-type virtual router user@host# set interface reth2.0 user@host# set interface st0.0 [edit routing-instances VR-3GPP] user@host# set instance-type virtual router user@host# set interface reth3.0 user@host# set interface st0.1
Укажите политики безопасности для разрешения трафика между узлами.
[edit security policies] user@host# set default-policy permit-all
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода команд show chassis cluster
, , , , , , , show interfaces
show security zones
show access profile radius_pico
show security ike
show security ipsec
show routing-instances
show security policies
и. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit] user@host# show chassis cluster reth-count 5 node 0 node 1 redundancy-group 0{ node 0 priority 250; node 1 priority 150; redundancy-group 1 { node 0 priority 220; node 1 priority 149; interface-monitor { ge-3/0/0 weight 255; ge-8/0/0 weight 255; ge-3/0/1 weight 255; ge-8/0/1 weight 255; ge-3/2/0 weight 255; ge-8/2/0 weight 255; ge-3/2/1 weight 255; ge-8/2/1 weight 255; } } [edit] user@host# show interfaces ge-3/0/0 { gigether-options { redundant-parent reth0; } } ge-3/0/1 { gigether-options { redundant-parent reth1; } } ge-3/2/0 { gigether-options { redundant-parent reth2; } } ge-3/2/1 { gigether-options { redundant-parent reth3; } } ge-8/0/0 { gigether-options { redundant-parent reth0; } } ge-8/0/1 { gigether-options { redundant-parent reth1; } } ge-8/2/0 { gigether-options { redundant-parent reth2; } } ge-8/2/1 { gigether-options { redundant-parent reth3; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 2.2.2.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 3.3.3.1/24; } } } reth2 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.168.2.20/24; } } } reth3 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.169.2.20/24; } } } st0 { unit 0{ multipoint; family inet { address 12.12.1.20/24; } } unit 1{ multipoint; family inet { address 13.13.1.20/24; } } } [edit] user@host# show routing-options static { route 1.1.0.0/16 next-hop 2.2.2.253; route 5.5.0.0/16 next-hop 2.2.2.253; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; reth0.0; } } security-zone oam-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth2.0; st0.0; } } security-zone 3gpp-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth3.0; st0.1; } } [edit] user@host# show access profile radius_pico authentication-order radius; radius-server { 192.168.2.22 { secret "$ABC123"; routing-instance VR-OAM; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate example_SRX; } } gateway OAM_GW { ike-policy IKE_POL; dynamic { hostname .pico_cell.net; ike-user-type group-ike-id; } local-identity hostname srx_series.example.net; external-interface reth0.0; aaa access-profile radius_pico; version v2-only; } gateway 3GPP_GW { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=pico_cell; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface reth1.0; aaa access-profile radius_pico; version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; lifetime-seconds 300; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn OAM_VPN { bind-interface st0.0; ike { gateway OAM_GW; proxy-identity { local 192.168.2.0/24; remote 0.0.0.0/0; } ipsec-policy IPSEC_POL; } } vpn 3GPP_VPN { bind-interface st0.1; ike { gateway 3GPP_GW; proxy-identity { local 192.169.2.0/24; remote 0.0.0.0/0; } ipsec-policy IPSEC_POL; } } [edit] user@host# show routing-instances VR-OAM { instance-type virtual-router; interface reth2.0; interface st0.0; } VR-3GPP { instance-type virtual-router; interface reth3.0; interface st0.1; } [edit] user@host# show security policies default-policy { permit-all; }
После настройки устройства войдите в commit
режим конфигурации.
Настройка промежуточного маршрутизатора
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit конфигурации.
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.253/24 set interfaces ge-0/0/2 unit 0 family inet address 5.5.5.253/24 set interfaces ge-0/0/14 unit 0 family inet address 3.3.3.253/24 set interfaces ge-0/0/15 unit 0 family inet address 2.2.2.253/24 set routing-options static route 192.169.2.0/24 next-hop 2.2.2.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/14.0 set security zones security-zone trust interfaces ge-0/0/15.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому выбору см. в интерфейс командной строки редактора в режиме конфигурации.
Для настройки промежуточного маршрутизатора:
Настройте интерфейсы.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.253/24 user@host# set ge-0/0/2 unit 0 family inet address 5.5.5.253/24 user@host# set ge-0/0/14 unit 0 family inet address 3.3.3.253/24 user@host# set ge-0/0/15 unit 0 family inet address 2.2.2.253/24
Настройте параметры маршрутов.
[edit routing-options] user@host# set static route 192.169.2.0/24 next-hop 2.2.2.1
Укажите зоны безопасности.
[edit security zones security-zone trust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces ge-0/0/14.0 user@host# set interfaces ge-0/0/15.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0
Укажите политики безопасности.
[edit security policies] user@host# set default-policy permit-all
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces
команд show routing-options
и show security zones
show security policies
команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 1.1.1.253/24; } } } ge-0/0/2 { unit 0 { family inet { address 5.5.5.253/24; } } } ge-0/0/14 { unit 0 { family inet { address 3.3.3.253/24; } } } ge-0/0/15 { unit 0 { family inet { address 2.2.2.253/24; } } } [edit] user@host# show routing-options static { route 192.169.2.0/24 next-hop 2.2.2.1; } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/14.0; ge-0/0/15.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; ge-0/0/2.0; } } } [edit] user@host# show security policies default-policy { permit-all; }
После настройки устройства войдите в commit
режим конфигурации.
Настройка Pico Cell (Пример конфигурации)
Пошаговая процедура
Информация о pico ячейке в этом примере предоставлена для справки. Подробные сведения о конфигурации pico cell не выходят за рамки этого документа. Конфигурация pico cell factory должна включать в себя следующую информацию:
Локальный сертификат (X.509v3) и IKE идентификации
Значения селектора трафика (TSi, TSr), установленные в значение any/any (0.0.0.0/0)
серия SRX IKE идентификации и публичный IP-адрес
Предложения фазы 1 и 2, которые соответствуют конфигурации серия SRX фазы
Pico-ячейки в этом примере используют программное обеспечение с открытым исходным кодом для VPN-подключений на основе IPsec. Эта информация используется серия SRX для инклюзивности ячеек pico с помощью функции полезной нагрузки конфигурации IKEv2. В сетях, в которых развертывается множество устройств, конфигурация pico cell может быть идентичной, за исключением сведений сертификата (leftcert) и идентификации (leftid). Следующие примеры конфигураций иллюстрируют заводские настройки.
Просмотрите конфигурацию Pico 1:
Pico 1: Пример конфигурации
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico1.pico_cell.net leftfirewall=yes reauth=yes right=2.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1” leftfirewall=yes reauth=yes right=3.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add
Просмотрите конфигурацию Pico 2:
Пример конфигурации Pico 2
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico2.pico_cell.net leftfirewall=yes #reauth=no right=2.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico2” leftfirewall=yes #reauth=no right=3.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add
Настройка сервера RADIUS (пример конфигурации с помощью FreeRADIUS)
Пошаговая процедура
Информация RADIUS сервера в этом примере предоставлена для справки. Полная RADIUS конфигурации сервера не является темой данного документа. Следующая информация возвращается серверу серия SRX сервер RADIUS у:
Framed-IP-адрес
Framed-IP-Netmask (необязательно)
Primary-DNS и Secondary-DNS (необязательно)
В этом примере сервер RADIUS информацию об отдельных и обеспечения для подключений OAM и 3GPP. Имя пользователя взято из сведений о сертификате клиента, предоставленных в серия SRX авторизации.
Если сервер RADIUS получает информацию о предоставлении клиентов от DHCP-сервера, то данные о клиентских идентификаторах, переданные DHCP-серверу RADIUS сервером, должны соответствовать информации IKE, передаемой серверу RADIUS устройством серия SRX. Это обеспечивает непрерывное идентификацию клиента для различных протоколов.
Канал связи между серия SRX и RADIUS сервером защищен общим RADIUS секретным секретом.
-
Просмотрите конфигурацию RADIUS для OAM Pico 1. Сервер RADIUS имеет следующую информацию:
Пример RADIUS конфигурации в Junos OS выпусках 12.3X48 и Junos OS до 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:
Пример конфигурации FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 12.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
Пример RADIUS, начиная с Junos OS версий 15.X49-D161 , 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:
Пример конфигурации FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 12.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
В данном случае сервер RADIUS маску подсети по умолчанию (255.255.255.255), которая блокирует внутрилинии трафика.
-
Просмотрите конфигурацию RADIUS для Сети VPN Pico 1 3GPP. Сервер RADIUS имеет следующую информацию:
Пример RADIUS конфигурации в Junos OS выпусках 12.3X48 и Junos OS до 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:
Пример конфигурации FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 13.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
Пример RADIUS, начиная с Junos OS версий 15.X49-D161 , 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 и 18.1R3 - S2:
Пример конфигурации FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 13.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
В этом случае сервер RADIUS предоставляет значение маски подсети (255.255.0.0), которое активизирует внутрипенный трафик.
Начиная с Junos OS 20.1R1, можно настроить общий пароль для запросов полезной нагрузки конфигурации IKEv2 для IKE шлюза. Общий пароль в диапазоне от 1 до 128 символов позволяет администратору определить общий пароль. Этот пароль используется между устройством серия SRX и RADIUS, когда серия SRX запрашивает IP-адрес от имени удаленного одноранговых узла IPsec при помощи полезной нагрузки конфигурации IKEv2. RADIUS сервер проверяет учетные данные перед тем, как он предоставляет любая IP-информация устройству серия SRX устройству для запроса полезной нагрузки конфигурации. Можно настроить общий пароль, используя утверждение
config-payload-password configured-password
конфигурации на[edit security ike gateway gateway-name aaa access-profile access-profile-name]
уровне иерархии. Кроме того, в данном примере из одного сертификата клиента создаются два туннеля с использованием различных частей сертификата для идентификации пользователя (IKE идентификации).
Проверки
Подтвердим, что конфигурация работает правильно.
- Проверка состояния IKE 1-го этапа для серия SRX
- Проверка ассоциаций безопасности IPsec для серия SRX
Проверка состояния IKE 1-го этапа для серия SRX
Цель
Проверьте состояние IKE 1.
Действий
В рабочем режиме на узле 0 введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations detail эту команду.
user@host# show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 553329718 UP 99919a471d1a5278 3be7c5a49172e6c2 IKEv2 1.1.1.1 1643848758 UP 9e31d4323195a195 4d142438106d4273 IKEv2 1.1.1.1
user@host# show security ike security-associations index 553329718 detail node0: -------------------------------------------------------------------------- IKE peer 1.1.1.1, Index 553329718, Gateway Name: OAM_GW Location: FPC 2, PIC 0, KMD-Instance 1 Role: Responder, State: UP Initiator cookie: 99919a471d1a5278, Responder cookie: 3be7c5a49172e6c2 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 2.2.2.1:500, Remote: 1.1.1.1:500 Lifetime: Expires in 28738 seconds Peer ike-id: C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1 aaa assigned IP: 12.12.1.201 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2104 Output bytes : 425 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Смысл
Команда show security ike security-associations
перечисляет все активные IKE фазы 1 с устройствами pico-ячеек. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. В этом примере показана только IKE фаза 1 SA для OAM VPN; однако будет отобра IKE фаза 1 SA, показывающие IKE фазе 1 для 3GPP VPN.
Если список есть в списке, просмотрите следующую информацию:
Индекс . Это значение уникально для каждой IKE SA: эту команду можно
show security ike security-associations index detail
использовать для получения дополнительной информации об SA.Удаленный адрес — проверьте правильность локального IP-адреса и что порт 500 используется для одноранговой связи.
Состояние ответчика роли:
Up — sa фаза 1 установлена.
Down . Возникла проблема при установлении SA фазы 1.
Peer (remote) IKE ID — проверьте правильность сведений о сертификате.
Локализованная идентификация и удаленная идентификация — проверьте правильность этих адресов.
Mode — убедитесь, что используется правильный режим.
Убедитесь в правильности пунктов конфигурации:
Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакеты)
IKE политики
Параметры предложения фазы 1 (должны совпадать между равноправными узлами)
В show security ike security-associations
этой команде перечислены дополнительные сведения о ассоциациях безопасности:
Используемые алгоритмы аутентификации и шифрования
Период действия на 1-м этапе
Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)
Сведения о роли
Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.
Информация о инициаторе и ответчике
Число созданных IPsec SAs
Число согласования фазы 2 в стадии выполнения
Проверка ассоциаций безопасности IPsec для серия SRX
Цель
Проверьте состояние IPsec.
Действий
В рабочем режиме на узле 0 введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations detail эту команду.
user@host# show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <214171651 ESP:aes-cbc-256/sha1 cc2869e2 3529/ - root 500 1.1.1.1 >214171651 ESP:aes-cbc-256/sha1 c0a54936 3529/ - root 500 1.1.1.1 <205520899 ESP:aes-cbc-256/sha1 84e49026 3521/ - root 500 1.1.1.1 >205520899 ESP:aes-cbc-256/sha1 c4ed1849 3521/ - root 500 1.1.1.1
user@host# show security ipsec security-associations detail node0: -------------------------------------------------------------------------- Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x604a29 Last Tunnel Down Reason: SA not initiated ID: 214171651 Virtual-system: root, VPN Name: 3GPP_VPN Local Gateway: 3.3.3.1, Remote Gateway: 1.1.1.1 Local Identity: list(any:0,ipv4_subnet(any:0-65535,[0..7]=192.169.2.0/24), ipv4_subnet(any:0-65535,[0..7]=13.13.0.0/16)) Remote Identity: ipv4(any:0,[0..3]=13.13.1.201) DF-bit: clear Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Last Tunnel Down Reason: SA not initiated Location: FPC 6, PIC 0, KMD-Instance 2 Direction: inbound, SPI: cc2869e2, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3523 seconds Lifesize Remaining: Soft lifetime: Expires in 2965 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 6, PIC 0, KMD-Instance 2 Direction: outbound, SPI: c0a54936, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3523 seconds Lifesize Remaining: Soft lifetime: Expires in 2965 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 205520899 Virtual-system: root, VPN Name: OAM_VPN Local Gateway: 2.2.2.1, Remote Gateway: 1.1.1.1 Local Identity: ipv4_subnet(any:0-65535,[0..7]=192.168.2.0/24) Remote Identity: ipv4(any:0,[0..3]=12.12.1.201) Version: IKEv2 DF-bit: clear Bind-interface: st0.0 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Last Tunnel Down Reason: SA not initiated Location: FPC 2, PIC 0, KMD-Instance 1 Direction: inbound, SPI: 84e49026, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3515 seconds Lifesize Remaining: Soft lifetime: Expires in 2933 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 2, PIC 0, KMD-Instance 1 Direction: outbound, SPI: c4ed1849, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3515 seconds Lifesize Remaining: Soft lifetime: Expires in 2933 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
Смысл
В этих примерах показан активный IKE фазе 2, что касается Pico 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 2. Проверьте параметры политики IPsec в конфигурации. Для каждой фазы 2 SA (OAM и 3GPP) информация предоставляется как в направлении входящие, так и исходящие. В выходных данных show security ipsec security-associations
команды перечислены следующие сведения:
Ip-адрес удаленного шлюза - 1.1.1.1.
ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3529/указывает на то, что срок действия второго этапа истекает через 3529 секунд и что срок действия не определен, что означает, что оно не ограничено. Период действия второго этапа может отличаться от срока действия фазы 1, поскольку фаза 2 не зависит от фазы 1 после того, как VPN будет активна.
Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.
Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.
Вышеопроизводимые show security ipsec security-associations index index_id detail
выходные данные команды перечисляют следующую информацию:
Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.
Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя в фазе 2. Если в списке нет sa IPsec, подтвердим, что предложения фазы 2, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.
Используются алгоритмы аутентификации и шифрования.
Параметры предложения фазы 2 (должны совпадать между равноправными узлами).
Защищенный туннель (st0.0 и st0.1) связывается с шлюзами OAM и 3GPP.
IKE политики с доверенным CA
В этом примере показано, как связать доверенного CA серверу с IKE политики одноранговых узла.
Перед началом работы необходимо иметь список всех доверенных ЦС, которые необходимо связать с политикой IKE равноправного узла.
Политику можно ассоциировать IKE с одним доверенным CA профилем или CA группой. Для установления безопасного соединения шлюз IKE использует политику IKE, чтобы ограничиться настроенной группой ЦС (ca-profiles) при проверке сертификата. Сертификат, выданный любым другим источником, кроме CA или CA группы, не подтверждается. Если имеется запрос на подтверждение сертификата, исходя из IKE, связанный с CA профиля этой политики IKE проверяет сертификат. Если политика IKE не связана с какой-либо CA, то сертификат по умолчанию проверяется любым из настроенных CA профилей.
В данном примере CA создается root-ca
профиль с именем root-ca-identity
a, связанное с профилем.
Можно настроить не более 20 профилей CA которые необходимо добавить в доверную CA группу. Конфигурацию нельзя сфиксировать, если настроено более 20 CA в надежной CA группы.
Для просмотра профилей CA и доверенных CA, настроенных на устройстве, show security pki
запустите команду.
user@host# show security ike proposal ike_prop { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; } policy ike_policy { proposals ike_prop; certificate { local-certificate SPOKE; trusted-ca ca-profile root-ca; } }
Команда отображает группу CA профилей под IKE именем сертификата, связанного с IKE show security ike
ike_policy
политиками.