Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用 IKEv2 配置负载配置 Pico 单元部署的 SRX 系列

 

在部署了许多设备的网络中,管理网络需要简单。IKEv2 配置有效负载功能支持对这些设备的调配,而无需接触设备配置或 SRX 系列配置。此示例演示如何使用 IKEv2 配置负载功能将 SRX 系列配置为支持 pico 的单元配置。

要求

此示例使用以下硬件和软件组件:

  • 机箱集群中配置的两个 SRX 系列设备

  • 一台 SRX 系列设备配置为中间路由器

  • 两个 pico cell 客户端

  • 一台 RADIUS 服务器配置 pico cell 客户端部署信息

  • Junos OS 版本 12.1 X46-D10 或更高版本,用于 IKEv2 配置负载支持

概述

在此示例中,SRX 系列使用 IKEv2 配置负载功能将配置信息传播到一系列 pico 的单元格。Pico 元格出厂时带有标准配置,允许它们连接到 SRX 系列,但 pico cell 配置信息存储在外部 RADIUS 服务器上。在保护网络中建立与调配服务器的安全连接之后,pico 单元会收到完整的调配信息。IKEv2 配置有效负载功能仅支持 IPv4。

图 1显示了一种拓扑,其中 SRX 系列支持使用 IKEv2 配置有效负载功能进行 pico 的单元配置。

图 1: SRX 系列支持具有 IKEv2 配置负载的 Pico Cell 调配
SRX 系列支持具有 IKEv2 配置负载的 Pico Cell 调配

此拓扑中的每个 pico 单元都将启动两个 IPsec Vpn:一个用于管理,一个用于数据。在此示例中,管理流量使用标记为 OAM 隧道的通道,而数据流量流经标记为3GPP 隧道的隧道。每个通道都支持在单独的可配置网络上与 OAM 和3GPP 配置服务器建立连接,需要单独的路由实例和 Vpn。此示例提供了用于建立 OAM 和 3GPP Vpn 的 IKE 阶段1和阶段2选项。

在此示例中,SRX 系列用作 IKEv2 配置负载服务器,从 RADIUS 服务器获取配置信息,并将该信息提供给 pico cell 客户端。在通道协商期间,SRX 系列将返回 IKEv2 配置负载中每个授权客户端的配置信息。SRX 系列不能用作客户端设备。

此外,SRX 系列使用 IKEv2 配置有效负载信息更新在通道协商期间与客户端交换的流量选择器发起程序(TSi)和流量选择器响应程序(TSr)值。配置负载使用在 SRX 系列上配置的的 TSi 和 TSr 值,使用 [ proxy-identityedit security ipsec vpn vpn-name ike] 层次结构级别的语句。TSi 和 TSr 值定义了每个 VPN 的网络流量。

中间路由器将 pico cell 信息流路由到 SRX 系列上的相应接口。

以下过程介绍了连接顺序:

  1. Pico 单元格使用出厂配置启动与 SRX 系列的 IPsec 隧道。
  2. SRX 系列使用客户端证书信息以及在 SRX 系列中注册的 CA 的根证书对客户端进行身份验证。进行身份验证之后,SRX 系列会将客户端证书中的 IKE 身份信息传递给授权请求中的 RADIUS 服务器。
  3. 在对客户端进行授权之后,RADIUS 服务器使用客户端部署信息响应 SRX 系列:
    • IP 地址(TSi 值)

    • IP 子网掩码(可选; 默认值为32位)

    • DNS 地址(可选)

  4. SRX 系列在 IKEv2 配置负载中为每个客户端连接返回部署信息,并将最终的 TSi 和 TSr 值与 pico 的单元格交换。在此示例中,SRX 系列为每个 VPN 提供以下的 TSi 和 TSr 信息:

    VPN 连接

    SRX 提供的 TSi/TSr 值

    Pico 1 OAM

    TSi 12.12.1.201/32,TSr:192.168.2.0/24

    Pico 1 3GPP

    TSi 13.13.1.201/32,TSr:192.169.2.0/24,TSr:13.13.0.0/16

    Pico 2 OAM

    TSi 12.12.1.205/32,TSr:192.168.2.0/24

    Pico 2 3GPP

    TSi 13.13.1.205/32,TSr:192.169.2.0/24,TSr:13.13.0.0/16

    注意

    如果 RADIUS 服务器提供的配置信息包含子网掩码,则 SRX 系列为包括 IP 子网的客户端连接返回第二个 TSr 值。这就为该子网上的设备启用了 intrapeer 通信。在此示例中,为与 3GPP VPN (13.13.0.0/16)相关联的子网启用 intrapeer 通信。

    注意

    仅对点对多点安全通道(st0)接口支持 IKEv2 配置负载功能。对于点对多点接口,接口必须编号,并且配置负载中提供的地址必须位于关联的点对多点接口的子网范围内。

表 1显示了 SRX 系列上配置的阶段1和阶段2选项,包括用于建立 OAM 和3GPP 隧道的信息。

表 1: SRX 系列的阶段1和阶段2选项

选项

IKE 建议:

建议名称

IKE_PROP

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

group5

身份验证算法

SHA-1

加密算法

AES 256 CBC

IKE 策略:

IKE 策略名称

IKE_POL

本地证书

Example_SRX

IKE 网关(OAM):

IKE 策略

IKE_POL

远程 IP 地址

动态

IKE 用户类型

组-ike id

本地 IKE ID

主机名 srx_series。示例. net

远程 IKE ID

主机名 pico_cell。 .net

外部接口

reth 0。0

访问配置文件

radius_pico

IKE 版本

v2-only

IKE 网关(3GPP):

IKE 策略

IKE_POL

远程 IP 地址

动态

IKE 用户类型

组-ike id

本地 IKE ID

可分辨名称通配符 OU = srx_series

远程 IKE ID

可分辨名称通配符 OU = pico_cell

外部接口

reth1

访问配置文件

radius_pico

IKE 版本

v2-only

IPsec 建议:

建议名称

IPSEC_PROP

Protocol

ESP

身份验证算法

HMAC SHA-1 96

加密算法

AES 256 CBC

IPsec 策略:

策略名称

IPSEC_POL

完全向前保密(PFS)密钥

group5

IPsec 建议

IPSEC_PROP

IPsec VPN (OAM):

绑定接口

st0.0

IKE 网关

OAM_GW

本地代理身份

192.168.2.0/24

远程代理身份

0.0.0.0/0

IPsec 策略

IPSEC_POL

IPsec VPN (3GPP):

绑定接口

st0.1

IKE 网关

3GPP_GW

本地代理身份

192.169.2.0/24

远程代理身份

0.0.0.0/0

IPsec 策略

IPSEC_POL

证书存储在 pico 单元格和 SRX 系列。

注意

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

配置

配置 SRX 系列

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后输入 commit从配置模式。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置 SRX 系列:

  1. 配置机箱集群。
  2. 配置接口。
  3. 配置路由选项。
  4. 指定安全区域。
  5. 创建 RADIUS 配置文件。
  6. 配置阶段1选项。
  7. 指定第2阶段选项。
  8. 指定路由实例。
  9. 指定允许站点到站点流量的安全策略。

结果

从配置模式show chassis cluster,输入、 show interfacesshow security zonesshow access profile radius_picoshow security ikeshow security ipsecshow routing-instances、、、、、和show security policies命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置中间路由器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后输入 commit从配置模式。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中间路由器:

  1. 配置接口。
  2. 配置路由选项。
  3. 指定安全区域。
  4. 指定安全策略。

结果

从配置模式, show interfaces输入、 show routing-optionsshow security zones、和show security policies命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置 Pico 单元格(示例配置)

分步过程

本示例中的 pico 单元格信息仅供参考。详细的 pico cell 配置信息超出了本文档的范畴。Pico 元格工厂配置必须包括以下信息:

  • 本地证书(X 509v3)和 IKE 身份信息

  • 流量选择器(TSi、TSr)值设置为任意/任意(0.0.0.0/0)

  • SRX 系列 IKE 身份信息和公共 IP 地址

  • 与 SRX 系列配置匹配的阶段1和阶段2方案

此示例中的 pico 单元格将 strongSwan 开源软件用于基于 IPsec 的 VPN 连接。此信息由 SRX 系列用于使用 IKEv2 配置负载功能进行 pico 的单元配置。在部署了许多设备的网络中,pico cell 配置可以相同,但证书(leftcert)和身份(leftid)信息除外。以下示例配置说明了出厂设置。

  1. 查看 Pico 1 配置:

    Pico 1:配置示例

  2. 查看 Pico 2 配置:

    Pico 2 示例配置

配置 RADIUS 服务器(使用 FreeRADIUS 配置示例)

分步过程

本示例中的 RADIUS 服务器信息仅供参考。完整 RADIUS 服务器配置信息超出了本文档的范畴。RADIUS 服务器将以下信息返回 SRX 系列:

  • 帧 IP 地址

  • 帧 IP-子网掩码(可选)

  • 主 DNS 和辅助 DNS (可选)

在此示例中,RADIUS 服务器具有 OAM 和3GPP 连接的单独配置信息。用户名取自 SRX 系列授权请求中提供的客户端证书信息。

注意

如果 RADIUS 服务器从 DHCP 服务器获取客户端配置信息,则由 RADIUS 服务器中继到 DHCP 服务器的客户端身份信息必须与客户端 IKE 通过 SRX 中继到 RADIUS 服务器的身份信息进行一致系列设备。这可确保跨各种协议的客户端身份连续性。

注意

SRX 系列设备与 RADIUS 服务器之间的通信通道受 RADIUS 共享机密保护。

  1. 查看 Pico 1 OAM VPN 的 RADIUS 配置。RADIUS 服务器具有以下信息:

    RADIUS 之前的 Junos OS 版本配置示例。 17.3 R3、17.4 r、18.1 R3、18.2 R2、18.3 R1 和 18.1 R3-S2:

    FreeRADIUS 配置示例:

    RADIUS 配置示例从 Junos OS 版本 17.3 R3、17.4 R2、18.1 R3、18.2 R2、18.3 R1 和 18.1 R3-S2 开始:

    FreeRADIUS 配置示例:

    在这种情况下,RADIUS 服务器提供了默认子网掩码(255.255.255.255),用于阻止 intrapeer 流量。

  2. 查看 Pico 1 3GPP VPN 的 RADIUS 配置。RADIUS 服务器具有以下信息:

    Junos OS Release 17.3 R 4、17.4 r、18.1 R3、18.2 R2、18.3 R1 和 18.1 r 2-S3 之前的 RADIUS 配置示例:

    FreeRADIUS 配置示例:

    RADIUS 配置示例从 Junos OS Release 17.3 R 4、17.4 r、18.1 R3、18.2 r、18.3 R1 和 18.1 R2-S3 开始:

    FreeRADIUS 配置示例:

    在这种情况下,RADIUS 服务器将提供一个子网掩码值(255.255.0.0),从而实现 intrapeer 流量。

    注意

    明文密码经过硬编码,不可配置。此外,此示例通过使用证书的不同部分(用户名(IKE 身份)信息,从同一客户端证书创建两个隧道。

针对

确认配置是否正常工作。

验证 SRX 系列的 IKE 阶段1状态

用途

验证 IKE 阶段1状态。

操作

在节点0上的操作模式下,输入 show security ike security-associations命令时,此文件将变成活动配置。从命令获取索引号后,请使用 show security ike security-associations detail 命令时,此文件将变成活动配置。

user@host# show security ike security-associations
user@host# show security ike security-associations index 553329718 detail

含义

show security ike security-associations命令将列出所有活动 IKE 阶段 1 sa 和 pico 单元设备。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。此示例仅显示 OAM VPN 的 IKE 阶段 1 SA;但是,将显示一个单独的 IKE 阶段 1 SA,显示 3GPP VPN 的 IKE 阶段1参数。

如果列出了 SAs,请查看以下信息:

  • 索引—此值对于每个 IKE SA 都是唯一的:您可以使用此show security ike security-associations index detail命令来获取有关 SA 的详细信息。

  • 远程地址—验证本地 IP 地址是否正确,以及端口500是否用于对等通信。

  • 角色响应程序状态:

    • —已建立阶段 1 SA。

    • 停机—建立阶段 1 SA 时出现问题。

  • 对等方(远程)—IKE ID 验证证书信息是否正确。

  • 本地身份和远程身份—验证这些地址是否正确。

  • 模式—验证是否使用了正确模式。

验证以下各项在您的配置中是否正确:

  • 外部接口(接口必须是发送 IKE 数据包的界面)

  • IKE 策略参数

  • 阶段1方案参数(必须与对等方匹配)

show security ike security-associations命令列出了有关安全关联的以下附加信息:

  • 使用的身份验证和加密算法

  • 阶段1生命周期

  • 流量统计数据(可用于验证流量在两个方向上的流动是否正确)

  • 角色信息

    注意

    使用响应方角色,最好在对等方上执行故障排除。

  • 发起方和响应者信息

  • 创建的 IPsec Sa 数

  • 正在进行的阶段2协商数

验证 SRX 系列的 IPsec 安全关联

用途

验证 IPsec 状态。

操作

在节点0上的操作模式下,输入 show security ipsec security-associations命令时,此文件将变成活动配置。从命令获取索引号后,请使用 show security ipsec security-associations detail命令时,此文件将变成活动配置。

user@host# show security ipsec security-associations
user@host# show security ipsec security-associations detail

含义

此示例显示 Pico 1 的活动 IKE 阶段 2 Sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中的 IPsec 策略参数。对于每个阶段 2 SA (OAM 和3GPP),将在入站和 outboard 方向上提供信息。show security ipsec security-associations命令的输出列出以下信息:

  • 远程网关的 IP 地址为1.1.1.1。

  • 为两个方向显示 SPIs、生存期(以秒为单位)和使用限制(或 lifesize/KB)。3529/value 表示阶段2生存期在3529秒内过期,未指定 lifesize,这表示没有限制。阶段2的生存期可能与阶段1的生存期不同,因为第2阶段在 VPN 启动后不依赖于阶段1。

  • 没有为此 SA 启用 VPN 监控,如 "周一列" 中的连字号所示。如果启用 VPN 监控,U 表示监控已开启,并且 D 表示监控已关闭。

  • 虚拟系统(vsys)是根系统,它始终列出0。

上面的show security ipsec security-associations index index_id detail命令输出中列出了以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是第2阶段失败的最常见原因之一。如果未列出 IPsec SA,请确认第2阶段的建议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 Vpn,默认代理 ID 为 local = 0.0.0.0/0、remote = 0.0.0.0/0 和服务 = any。来自相同对等方 IP 的多个基于路由的 Vpn 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定一个唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 使用的身份验证和加密算法。

  • 阶段2方案参数(必须与对等方匹配)。

  • 与 OAM 和3GPP 网关的安全通道(st 0.0 和 st 0.1)绑定。