VPNv1 do grupo
VPN em grupo é um conjunto de recursos necessários para proteger o tráfego de grupos IP multicast ou tráfego unicast em uma WAN privada que se origina ou flui por meio de um dispositivo.
Visão geral do grupo VPNv1
Uma associação de segurança IPsec (SA) é um acordo unidirecional entre os participantes da rede privada virtual (VPN) que define as regras para uso para algoritmos de autenticação e criptografia, mecanismos de troca chave e comunicações seguras. Com as implementações de VPN atuais, a SA é um túnel ponto a ponto entre dois dispositivos de segurança. O VPNv1 do grupo estende a arquitetura IPsec para oferecer suporte a SAs que são compartilhadas por um grupo de dispositivos de segurança (ver Figura 1).
O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650. Com o Grupo VPNv1, a conectividade entre todos é alcançada preservando os endereços IP de origem e destino originais no cabeçalho externo. Pacotes multicast seguros são replicados da mesma forma que pacotes multicast cleartext na rede principal.
Começando pelo Junos OS Release 12.3X48-D30, os membros do Grupo VPNv1 podem interoperar com servidores VPNv2 do grupo.
O VPNv1 do grupo tem algumas limitações de propriedade em relação à RFC 6407, Domínio de interpretação do grupo (GDOI). Para usar a VPN do grupo sem limitações proprietárias, atualize para o Grupo VPNv2. O VPNv2 do grupo é suportado em instâncias de firewall virtual vSRX a partir do Junos OS Release 15.1X49-D30, firewalls da Série SRX começando pelo Junos OS Release 15.1X49-D40 e dispositivos da Série MX começando com o Junos OS Release 15.1r2.
- Entendendo o protocolo de GDOI para VPNv1 do grupo
- Entendendo as limitações do VPNv1 do grupo
- Entender os servidores e membros do VPNv1 do grupo
- Entenda a comunicação entre membros do servidor VPNv1 do grupo
- Entendendo as operações-chave do grupo VPNv1 do Grupo VPNv1
- Entendendo as mensagens de pulsação do VPNv1 do grupo
- Entendendo o modo de colocação de membros do servidor VPNv1 do grupo
Entendendo o protocolo de GDOI para VPNv1 do grupo
O VPNv1 do grupo é baseado no RFC 3547, Domínio de interpretação em grupo (GDOI). Esta RFC descreve o protocolo entre membros do grupo e um servidor de grupo para estabelecer SAs entre os membros do grupo. As mensagens de GDOI criam, mantêm ou apagam SAs para um grupo de dispositivos. O protocolo GDOI é executado na porta 848.
A Internet Security Association e o Key Management Protocol (ISAKMP) definem duas fases de negociação para estabelecer SAs para um túnel IPsec de IPsec autokey. A fase 1 permite que dois dispositivos estabeleçam uma SA ISAKMP. A Fase 2 estabelece SAs para outros protocolos de segurança, como o GDOI.
Com a VPN do grupo, a negociação de SA ISAKMP da Fase 1 é realizada entre um servidor do grupo e um membro do grupo. O servidor e o membro devem usar a mesma política ISAKMP. Na Fase 2, as trocas de GDOI entre o servidor e o membro estabelecem as SAs compartilhadas com outros membros do grupo. Um membro do grupo não precisa negociar o IPsec com outros membros do grupo. As trocas de GDOI na Fase 2 devem ser protegidas pelos SAs de Fase 1 do ISAKMP.
Existem dois tipos de trocas de GDOI:
A
groupkey-pull
troca permite que um membro solicite SAs e chaves compartilhadas pelo grupo do servidor.A
groupkey-push
troca é uma única mensagem rekey que permite que o servidor envie SAs e chaves do grupo para os membros antes que os SAs do grupo existente expiram. As mensagens rekey são mensagens não solicitadas enviadas do servidor aos membros.
Entendendo as limitações do VPNv1 do grupo
Os seguintes não são suportados nesta versão para VPNv1 do grupo:
Instâncias de roteamento não padrão
Cluster de chassi
Clusters de servidor
VPN de grupo baseado em rota
Implantação pública baseada na Internet
SNMP
Negar política do servidor VPN Cisco GET
Interface J-Web para configuração e monitoramento
Começando pelo Junos OS Release 12.3X48-D30, membros do Grupo VPNv1 nos dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 e SRX650 podem interoperar com servidores do Grupo VPNv2. Ao configurar membros do Grupo VPNv1 para uso com servidores VPNv2 do grupo, observe as seguintes limitações:
O VPNv2 do grupo oferece suporte ao protocolo de detecção de atraso de entrega de IP de especificação IETF para um mecanismo de antireplay baseado em tempo. Portanto, o antireplay baseado em protocolo de detecção de atraso de entrega de IP não é suportado por membros do Grupo VPNv1 e deve ser desativado no servidor VPNv2 do grupo com o
deactivate security group-vpn server group group-name anti-replay-time-window
comando.O servidor VPNv2 do grupo não oferece suporte à colocação, onde o servidor do grupo e as funções de membro do grupo existem no mesmo dispositivo.
O servidor VPNv2 do grupo não oferece suporte a transmissões de pulsação. O coração pulsante deve ser desativado no membro VPNv1 do grupo com o
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold
comando. Recomendamos o uso de clusters de servidor VPNv2 do grupo para evitar impactos no tráfego devido a reinicializações ou outras interrupções no servidor VPNv2 do grupo.As mensagens de pressão em grupo enviadas do servidor VPNv2 do grupo são baseadas em RFC 6407, The Group Domain of Interpretation (GDOI) e não têm suporte para membros do Grupo VPNv1. Portanto, as mensagens de push em grupo devem ser desabilitadas no servidor VPNv2 do grupo com o
deactivate security group-vpn server group group-name server-member-communication
comando.Os rekeys são suportados com mensagens de atração de chaves de grupo. Se houver problemas de escala em que os membros do Grupo VPNv1 não possam concluir a operação de retirada de chaves de grupo antes que a dura vida útil da TEK expira, recomendamos aumentar a vida útil da TEK para permitir que os membros completem a operação de retirada de chaves de grupo. Os números de escala da Juniper são qualificados com uma vida útil de TEK de 2 horas.
Se o servidor VPNv2 do grupo for reiniciado ou atualizado, ou os SAs para o grupo forem liberados, novos membros não poderão ser adicionados à rede até que a próxima rekey ocorra para os membros existentes. Os novos membros não podem enviar tráfego para membros existentes que tenham chaves antigas. Como uma solução alternativa, libere os SAs sobre os membros VPNv1 do grupo existente com o
clear security group-vpn member ipsec security-associations
comando.Como o tráfego de dados multicast não é suportado por membros do Grupo VPNv2, o tráfego de dados multicast não pode ser usado quando os membros do Grupo VPNv1 e VPNv2 do grupo coexistem na rede para o mesmo grupo.
Entender os servidores e membros do VPNv1 do grupo
O centro de uma VPN em grupo é o servidor do grupo. O servidor do grupo executa as seguintes tarefas:
Controla a associação de grupos
Gera chaves de criptografia
Gerencia SAs e chaves do grupo e as distribui aos membros do grupo
Os membros do grupo criptografam o tráfego com base nos SAs do grupo e nas chaves fornecidas pelo servidor do grupo.
Um servidor de grupo pode atender a vários grupos. Um único dispositivo de segurança pode ser um membro de vários grupos.
Cada grupo é representado por um identificador de grupo, que é um número entre 1 e 65.535. O servidor do grupo e os membros do grupo são ligados pelo identificador do grupo. Só pode haver um identificador de grupo por grupo, e vários grupos não podem usar o mesmo identificador de grupo.
A seguir, uma visão de alto nível das ações do servidor VPN do grupo e dos membros:
O servidor do grupo ouve a porta UDP 848 para que os membros se inscrevam. Um dispositivo membro deve fornecer autenticação correta da Fase 1 do IKE para participar do grupo. A autenticação de chave pré-compartilhada por membro é suportada.
Após autenticação e registro bem-sucedidos, o dispositivo membro recupera SAs e chaves do grupo do servidor com uma troca de GDOI
groupkey-pull
.O servidor adiciona o membro à associação do grupo.
Os membros do grupo trocam pacotes criptografados com chaves SA do grupo.
O servidor envia periodicamente a SA e as principais atualizações aos membros do grupo com mensagens rekey (GDOI groupkey-push
). As mensagens rekey são enviadas antes que os SAs expirem; isso garante que as chaves válidas estejam disponíveis para criptografar o tráfego entre os membros do grupo.
O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando houver uma mudança na associação do grupo ou quando a SA do grupo tiver mudado.
Entenda a comunicação entre membros do servidor VPNv1 do grupo
O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650. A comunicação entre membros do servidor permite que o servidor envie mensagens de GDOI groupkey-push
aos membros. Se a comunicação entre membros do servidor não estiver configurada para o grupo, os membros podem enviar mensagens de GDOI groupkey-pull
para se registrar e se reinscrever no servidor, mas o servidor não poderá enviar mensagens rekey aos membros.
A comunicação entre membros do servidor é configurada para o grupo usando a server-member-communication
declaração de configuração na [edit security group-vpn server
] hierarquia. As seguintes opções podem ser definidas:
Algoritmo de criptografia usado para comunicações entre o servidor e o membro. Você pode especificar 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc ou des-cbc. Não há algoritmo padrão.
Algoritmo de autenticação (md5 ou sha1) usado para autenticar o membro no servidor. Não há algoritmo padrão.
Seja o servidor que envia mensagens de rekey unicast ou multicast para membros do grupo e parâmetros relacionados ao tipo de comunicação.
Intervalo em que o servidor envia mensagens de coração para o membro do grupo. Isso permite que o membro determine se o servidor reinicializou, o que exigiria que o membro se reregissaria com o servidor. O padrão é de 300 segundos.
Vida útil para a chave chave de criptografia (KEK). O padrão é de 3600 segundos.
A configuração da comunicação entre membros do servidor é necessária para que o servidor do grupo envie mensagens rekey aos membros, mas pode haver situações em que esse comportamento não seja desejado. Por exemplo, se os membros do grupo são pares dinâmicos (como em um home office), os dispositivos nem sempre estão funcionando e o endereço IP de um dispositivo pode ser diferente cada vez que ele é alimentado. A configuração da comunicação entre membros do servidor para um grupo de pares dinâmicos pode resultar em transmissões desnecessárias pelo servidor. Se você quiser que a negociação de SA da Fase 1 da IKE seja sempre realizada para proteger a negociação do GDOI, não configure a comunicação entre membros do servidor.
Se a comunicação entre membros do servidor para um grupo não estiver configurada, a lista de membros exibida pelo comando mostra que os membros do show security group-vpn server registered-members
grupo que se registraram no servidor; os membros podem estar ativos ou não. Quando a comunicação entre membros do servidor para um grupo é configurada, a lista de membros do grupo é liberada. Se o tipo de comunicação estiver configurado como unicast, o show security group-vpn server registered-members
comando mostra apenas membros ativos. Se o tipo de comunicação estiver configurado como multicast, o show security group-vpn server registered-members
comando mostra membros que se registraram no servidor após a configuração; a lista de membros não representa necessariamente membros ativos porque os membros podem desistir após o registro.
Entendendo as operações-chave do grupo VPNv1 do Grupo VPNv1
Este tópico contém as seguintes seções:
Chaves do grupo
O servidor do grupo mantém um banco de dados para rastrear o relacionamento entre grupos de VPN, membros do grupo e chaves do grupo. Existem dois tipos de chaves de grupo que o servidor baixa para os membros:
Chave de criptografia de chave (KEK) — usada para criptografar mensagens rekey. Um KEK é suportado por grupo.
Chave de criptografia de tráfego (TEK) — usada para criptografar e descriptografar o tráfego de dados IPsec entre membros do grupo.
A chave associada a uma SA é aceita por um membro do grupo apenas se houver uma política de escopo correspondente configurada no membro. Uma chave aceita é instalada para a VPN do grupo, enquanto uma chave descartada é descartada.
Mensagens rekey
Se o grupo estiver configurado para comunicações de membros do servidor, o servidor envia periodicamente SA e atualizações importantes aos membros do grupo com mensagens rekey (GDOI groupkey-push
). As mensagens rekey são enviadas antes que os SAs expirem; isso garante que as chaves válidas estejam disponíveis para criptografar o tráfego entre os membros do grupo.
O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando há uma mudança na associação do grupo ou a SA do grupo mudou (por exemplo, uma política de grupo é adicionada ou excluída).
As opções de comunicação entre membros do servidor devem ser configuradas no servidor para permitir que o servidor envie mensagens rekey aos membros do grupo. Essas opções especificam o tipo de mensagem e os intervalos em que as mensagens são enviadas, conforme explicado nas seções a seguir:
Existem dois tipos de mensagens rekey:
Mensagens rekey da Unicast — o servidor do grupo envia uma cópia da mensagem rekey para cada membro do grupo. Após o recebimento da mensagem pronta, os membros devem enviar um reconhecimento (ACK) ao servidor. Se o servidor não receber uma ACK de um membro (incluindo a retransmissão de mensagens rekey), o servidor considera o membro inativo e o remove da lista de membros. O servidor deixa de enviar mensagens prontas para o membro.
As
number-of-retransmission
declarações eretransmission-period
configuração para comunicações de membros do servidor controlam o reenconsão de mensagens rekey pelo servidor quando nenhuma ACK é recebida de um membro.Mensagens rekey multicast — o servidor do grupo envia uma cópia da mensagem rekey da interface de saída especificada para o endereço de grupo multicast configurado. Os membros não enviam reconhecimento do recebimento de mensagens rekey multicast. A lista de membros registrados não representa necessariamente membros ativos porque os membros podem desistir após o registro inicial. Todos os membros do grupo devem ser configurados para oferecer suporte a mensagens multicast.
Os protocolos ip multicast devem ser configurados para permitir a entrega de tráfego multicast na rede. Para obter informações detalhadas sobre a configuração de protocolos multicast em dispositivos da Juniper Networks, consulte o Guia de usuário do Multicast Protocols .
O intervalo em que o servidor envia mensagens rekey é calculado com base nos valores das lifetime-seconds
declarações e activation-time-delay
configuração na hierarquia [edit security group-vpn server group
]. O intervalo é calculado como lifetime-seconds
minus 4*(activation-time-delay
).
O lifetime-seconds
KEK está configurado como parte das comunicações de membros do servidor; o padrão é de 3600 segundos. O lifetime-seconds
para o TEK está configurado para a proposta IPsec; o padrão é de 3600 segundos. A activation-time-delay
configuração é para o grupo no servidor; o padrão é de 15 segundos. Usando os valores padrão para lifetime-seconds
e activation-time-delay
, o intervalo em que o servidor envia mensagens rekey é 3600 minus 4*15, ou 3540 segundos.
Registro de membros
Se um membro do grupo não receber uma nova chave SA do servidor antes que a chave atual expira, o membro deve se reregistor com o servidor e obter chaves atualizadas com uma troca de GDOI groupkey-pull
. Neste caso, o intervalo em que o servidor envia mensagens rekey é calculado da seguinte forma: lifetime-seconds
menos 3*(activation-time-delay
). Usando os valores padrão para lifetime-seconds
e activation-time-delay
, o intervalo em que o servidor envia mensagens rekey é de 3600 menos 3*15 ou 3555 segundos.
O recadastramento de membros pode ocorrer pelos seguintes motivos:
O membro detecta uma reinicialização de servidor pela ausência de pulsações recebidas do servidor.
A mensagem re-chave do servidor do grupo está perdida ou atrasada, e a vida útil da TEK expira.
Ativação chave
Quando um membro recebe uma nova chave do servidor, ele espera um período de tempo antes de usar a chave para criptografia. Esse período de tempo é determinado pela activation-time-delay
declaração de configuração e se a chave é recebida por meio de uma mensagem rekey enviada do servidor ou como resultado da reregistência do membro com o servidor.
Se a chave for recebida por uma mensagem re-chave enviada do servidor, o membro aguarda 2*(activation-time-delay
) segundos antes de usar a chave. Se a chave for recebida por meio do recadastramento de membros, o membro aguarda o número de segundos especificados pelo activation-time-delay
valor.
Um membro retém as duas chaves mais recentes enviadas do servidor para cada SA de grupo instalada no membro. Ambas as chaves podem ser usadas para descriptografia, enquanto a chave mais recente é usada para criptografia. A chave anterior é removida o número de segundos especificado pelo activation-time-delay
valor após a ativação da nova chave.
O padrão para a declaração de activation-time-delay
configuração é de 15 segundos. Definir esse período de tempo muito pequeno pode resultar na queda de um pacote em um membro remoto do grupo antes que a nova chave seja instalada. Considere a topologia da rede e os atrasos no transporte do sistema quando você altera o activation-time-delay
valor. Para transmissões unicast, o atraso no transporte do sistema é proporcional ao número de membros do grupo.
Um servidor VPNv1 de grupo pode enviar várias chaves de criptografia de tráfego (TEKs) a um membro do grupo VPNv1 em resposta a uma groupkey-pull
solicitação. O seguinte descreve como o membro VPNv1 do grupo lida com a TEK existente e os TEKs que recebe do servidor:
Se o membro VPNv1 do grupo receber dois ou mais TEKs, ele detém os dois TEKs mais recentes e exclui o TEK existente. Dos dois TEKs detidos, o TEK mais antigo é ativado imediatamente, e o TEK mais novo é ativado após a
activation-time-delay
configuração no servidor VPNv1 do grupo ter passado (o padrão é de 15 segundos).Se o membro VPNv1 do grupo receber apenas um TEK ou se receber um TEK por meio de uma
groupkey-push
mensagem do servidor, o TEK existente não será excluído até que a dura vida útil expire. A vida útil não é reduzida para a TEK existente.
O membro VPNv1 do grupo ainda instala um TEK recebido, mesmo que a vida útil da TEK seja menos de duas vezes o activation-time-delay
valor.
Entendendo as mensagens de pulsação do VPNv1 do grupo
Quando a comunicação entre membros do servidor é configurada, o servidor VPNv1 do grupo envia mensagens de pulsação aos membros em intervalos especificados (o intervalo padrão é de 300 segundos). O mecanismo de desagregação permite que os membros se reregistram com o servidor se o número especificado de pulsações não for recebido. Por exemplo, os membros não receberão mensagens de pulsação durante uma reinicialização de servidor. Quando o servidor é reiniciado, os membros se reregistram com o servidor.
Os pulsantes são transmitidos por mensagens groupkey-push
. O número da sequência é incrementado em cada mensagem de pulsação, que protege os membros contra ataques de resposta. Ao contrário das mensagens rekey, as mensagens não são reconhecidas pelos destinatários e não são retransmitidas pelo servidor.
As mensagens de pulsação contêm as seguintes informações:
Estado e configuração atuais das chaves no servidor
Tempo relativo, se o antireplay estiver habilitado
Comparando as informações nos piscares de olhos, um membro pode detectar se perdeu as informações do servidor ou as mensagens rekey. O membro reregissores para sincronizar-se com o servidor.
Mensagens de pulsação podem aumentar o congestionamento da rede e causar recadastramentos desnecessários de membros. Assim, a detecção de pulsação pode ser desabilitada no membro, se necessário.
Entendendo o modo de colocação de membros do servidor VPNv1 do grupo
As funções de servidor de grupo e membro do grupo são separadas e não se sobrepõem. As funções de servidor e membro podem coexistir no mesmo dispositivo físico, que é chamado de modo de colocação. No modo colocation, não há alteração em termos de funcionalidade e comportamento do servidor ou de um membro, mas o servidor e o membro precisam ser atribuídos diferentes endereços IP para que os pacotes possam ser entregues corretamente. No modo colocation, só pode haver um endereço IP atribuído ao servidor e um endereço IP atribuído ao membro em todos os grupos.
Consulte também
Visão geral da configuração do VPNv1 do grupo
Este tópico descreve as principais tarefas para configurar o grupo VPNv1.
No servidor do grupo, configure o seguinte:
- Negociação da Fase 1 da IKE. Use a [
edit security group-vpn server ike
] hierarquia para configurar a IKE Phase 1 SA. Veja a configuração da Fase 1 do IKE para o Grupo VPNv2 . - SA IPsec da fase 2. Veja a compreensão da configuração de SA IPsec para VPNv1 do grupo.
- Grupo de VPN. Veja a visão geral da configuração do VPNv1 do grupo.
No membro do grupo, configure o seguinte:
Negociação da Fase 1 da IKE. Use a [
edit security group-vpn member ike
] hierarquia para configurar a IKE Phase 1 SA. Veja como entender a configuração da Fase 1 do IKE para VPNv1 do grupo .SA IPsec da fase 2. Veja a compreensão da configuração de SA IPsec para VPNv1 do grupo.
Política de escopo que determina quais políticas de grupo estão instaladas no membro. Veja a compreensão das políticas dinâmicas para o VPNv1 do grupo.
Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelo membro do grupo para se conectar à rede MPLS seja configurada para um tamanho máximo de unidade de transmissão (MTU) não maior que 1400 bytes. Use a set interface mtu
declaração de configuração para definir o tamanho do MTU.
O grupo de VPN está configurado no servidor com a group
declaração de configuração na [edit security group-vpn server
] hierarquia.
As informações do grupo consistem nas seguintes informações:
Identificador de grupo — um valor entre 1 e 65.535 que identifica o grupo de VPN. O mesmo identificador de grupo deve ser configurado no membro do grupo para Autokey IKE.
Membros do grupo, conforme configurado com a declaração de
ike-gateway
configuração. Pode haver várias instâncias dessa declaração de configuração, uma para cada membro do grupo.Endereço IP do servidor (o endereço da interface de loopback é recomendado).
Políticas de grupo — políticas que devem ser baixadas aos membros. As políticas de grupo descrevem o tráfego ao qual a SA e as chaves se aplicam. Veja a compreensão das políticas dinâmicas para o VPNv1 do grupo.
Comunicação entre membros do servidor — configuração opcional que permite ao servidor enviar mensagens rekey aos membros. Veja a visão geral do Grupo VPNv1.
Antireplay — configuração opcional que detecta interceptação e repetição de pacotes. Veja a compreensão do antireplay para o VPNv1 do grupo.
Entendendo a configuração da Fase 1 do IKE para VPNv1 do grupo
Uma SA da Fase 1 do IKE entre o servidor do grupo e um membro do grupo estabelece um canal seguro para negociar SAs IPsec que são compartilhadas por um grupo. Para VPNs IPsec padrão em dispositivos de segurança da Juniper Networks, a configuração de SA da Fase 1 consiste em especificar uma proposta, política e gateway IKE. Para VPNv1 do grupo, a configuração de SA da Fase 1 do IKE é semelhante à configuração para VPNs IPsec padrão, mas é realizada na hierarquia [edit security group-vpn
].
Na configuração da proposta de IKE, você define o método de autenticação e os algoritmos de autenticação e criptografia que serão usados para abrir um canal seguro entre os participantes. Na configuração da política de IKE, você define o modo (principal ou agressivo) em que o canal da Fase 1 será negociado, especifica o tipo de troca de chave a ser usada e faz referência à proposta da Fase 1. Na configuração de gateway IKE, você faz referência à política de Fase 1.
Como o VPNv2 do grupo só oferece suporte a algoritmos fortes, a opção sha-256
de algoritmo de autenticação é suportada para membros do Grupo VPNv1 nos dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 e SRX650. Quando os membros do VPNv1 do grupo interoperam com servidores VPNv2 do grupo, essa opção deve ser configurada nos membros do Grupo VPNv1 com o edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256
comando. No servidor VPNv2 do grupo, authentication-algorithm sha-256
deve ser configurado para propostas de IKE e authentication-algorithm hmac-sha-256-128
deve ser configurado para propostas IPsec.
Se um gateway IKE em um membro do Grupo VPNv1 estiver configurado com mais de um endereço de gateway, a mensagem de erro "Apenas um endereço remoto pode ser configurado por configuração de gateway IKE" é exibida quando a configuração é comprometida.
A configuração da Fase 1 do IKE no servidor do grupo deve combinar com a configuração da Fase 1 do IKE com os membros do grupo.
Entendendo a configuração de SA IPsec para VPNv1 do grupo
Após o servidor e o membro terem estabelecido um canal seguro e autenticado na negociação da Fase 1, eles passam pela Fase 2. A negociação da Fase 2 estabelece os SAs IPsec que são compartilhados pelos membros do grupo para proteger dados transmitidos entre os membros. Embora a configuração de SA IPsec para VPN de grupo seja semelhante à configuração para VPNs padrão, um membro do grupo não precisa negociar a SA com outros membros do grupo.
A configuração de IPsec da fase 2 para VPNv1 de grupo consiste nas seguintes informações:
Uma proposta para que o algoritmo de protocolo de segurança, autenticação e criptografia seja usado para a SA. A proposta de SA IPsec está configurada no servidor do grupo com a
proposal
declaração de configuração na [edit security group-vpn server ipsec
] hierarquia.Uma política de grupo que faz referência à proposta. Uma política de grupo especifica o tráfego (protocolo, endereço fonte, porta de origem, endereço de destino e porta de destino) ao qual a SA e as chaves se aplicam. A política do grupo está configurada no servidor com a
ipsec-sa
declaração de configuração na hierarquiaedit security group-vpn server group
.Um IKE autokey que faz referência ao identificador do grupo, ao servidor do grupo (configurado com a declaração de
ike-gateway
configuração) e à interface usada pelo membro para se conectar ao grupo. O IKE autokey está configurado no membro com a declaração deipsec vpn
configuração na [edit security group-vpn member
] hierarquia.
Entendendo as políticas dinâmicas para o VPNv1 do grupo
O servidor do grupo distribui SAs do grupo e as chaves para membros de um grupo especificado. Todos os membros que pertencem ao mesmo grupo podem compartilhar o mesmo conjunto de SAs IPsec. Mas nem todos os SAs configurados para um grupo são instalados em todos os membros do grupo. A SA instalada em um membro específico é determinada pela política associada à SA do grupo e pelas políticas de segurança configuradas no membro.
Em um grupo de VPN, cada SA de grupo e a chave que o servidor empurra para um membro está associada a uma política de grupo. A política do grupo descreve o tráfego no qual a chave deve ser usada, incluindo protocolo, endereço fonte, porta de origem, endereço de destino e porta de destino.
As políticas de grupo idênticas (configuradas com o mesmo endereço de origem, endereço de destino, porta de origem, porta de destino e valores de protocolo) não podem existir para um único grupo. Um erro é devolvido se você tentar confirmar uma configuração que contenha políticas de grupo idênticas para um grupo. Se esse for o caso, você deve excluir uma das políticas de grupo idênticas.
Em um membro do grupo, uma política de escopo deve ser configurada que defina o escopo da política de grupo baixada do servidor. Uma política de grupo distribuída do servidor é comparada com as políticas de escopo configuradas no membro. Para que uma política de grupo seja instalada no membro, as seguintes condições devem ser atendidas:
Quaisquer endereços especificados na política do grupo devem estar dentro da gama de endereços especificados na política de escopo.
A porta de origem, a porta de destino e o protocolo especificados na política do grupo devem corresponder aos configurados na política de escopo.
Uma política de grupo instalada em um membro é chamada de política dinâmica.
Uma política de escopo pode fazer parte de uma lista ordenada de políticas de segurança para um contexto específico de zona a zona. O Junos OS realiza uma busca por políticas de segurança em pacotes de entrada a partir do topo da lista ordenada.
Dependendo da posição da política de escopo dentro da lista ordenada de políticas de segurança, existem várias possibilidades de busca dinâmica de políticas:
Se o pacote de entrada corresponde a uma política de segurança antes que a política de escopo seja considerada, a busca dinâmica de políticas não ocorrerá.
Se uma política de entrada corresponder a uma política de escopo, o processo de pesquisa continua para uma política dinâmica correspondente. Se houver uma política dinâmica correspondente, essa ação de política (permissão) é realizada. Se não houver uma política dinâmica correspondente, o processo de pesquisa continua a pesquisar as políticas abaixo da política de escopo.
Nesta versão, apenas a ação
tunnel
é permitida para uma política de escopo. Outras ações não são apoiadas.
Você configura uma política de escopo em um membro do grupo usando a policies
declaração de configuração na [edit security
] hierarquia. Use a ipsec-group-vpn
declaração de configuração na regra de túnel de permissão para fazer referência à VPN do grupo; isso permite que os membros do grupo compartilhem uma única SA.
Consulte também
Entendendo o Antireplay para VPNv1 do grupo
Antireplay é um recurso IPsec que pode detectar quando um pacote é interceptado e depois repetido por invasores. O antireplay é habilitado por padrão para VPNs de grupo, mas pode ser desativado para um grupo com a no-anti-replay
declaração de configuração.
Quando o antireplay é habilitado, o servidor do grupo sincroniza o tempo entre os membros do grupo. Cada pacote IPsec contém um data-tempo. O membro do grupo verifica se o temporizador do pacote cai dentro do valor configurado anti-replay-time-window
(o padrão é de 100 segundos). Um pacote é descartado se o data-tempo exceder o valor.
Consulte também
Exemplo: Configuração do servidor e membros do VPNv1 do grupo
Este exemplo mostra como configurar o grupo VPNv1 para estender a arquitetura IPsec para oferecer suporte a SAs que são compartilhadas por um grupo de dispositivos de segurança. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.
Requisitos
Antes de começar:
Configure os dispositivos de segurança da Juniper Networks para comunicação de rede.
Configure interfaces de rede em dispositivos de servidor e membros. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
Em Figura 2, uma VPN em grupo consiste em dois dispositivos de membro (membro1 e membro2) e um servidor de grupo (o endereço IP da interface de loopback no servidor é 20.0.0.1). O identificador do grupo é 1.
Os SAs VPN do grupo Fase 2 devem ser protegidos por uma SA de Fase 1. Portanto, a configuração de VPN do grupo deve incluir a configuração das negociações da Fase 1 do IKE no servidor do grupo e nos membros do grupo. Além disso, o mesmo identificador de grupo deve ser configurado tanto no servidor do grupo quanto nos membros do grupo.
As políticas de grupo estão configuradas no servidor do grupo. Todas as políticas de grupo configuradas para um grupo são baixadas para membros do grupo. As políticas de escopo configuradas em um membro do grupo determinam quais políticas de grupo estão realmente instaladas no membro. Neste exemplo, as seguintes políticas de grupo estão configuradas no servidor do grupo para download a todos os membros do grupo:
p1 — permite todo o tráfego de 10.1.0.0/16 a 10.2.0.0./16
p2 — permite todo o tráfego de 10.2.0.0./16 a 10.1.0.0/16
p3 — permite tráfego multicast a partir de 10.1.1.1/32
O dispositivo member1 é configurado com políticas de escopo que permitem todo o tráfego unicast de e para a sub-rede 10.0.0.0/8. Não há nenhuma política de escopo configurada no membro1 para permitir o tráfego multicast; portanto, a política de SA p3 não está instalada no membro1.
O dispositivo de membro2 está configurado com políticas de escopo que reduzem o tráfego de 10.1.0.0/16 da zona de confiança para a zona não confiável e para 10.1.0.0/16 da zona não confiável para a zona de confiança. Portanto, a política de SA p2 não está instalada no membro2.
Configuração
Configuração do servidor do grupo
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar o servidor do grupo:
Configure o endereço de loopback no dispositivo.
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Configure o IKE Phase 1 SA (essa configuração deve combinar com a SA da Fase 1 configurada nos membros do grupo).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina a política de IKE e defina os gateways remotos.
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Configure a troca de SA da Fase 2.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Configure o identificador de grupo e o gateway IKE.
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
Configure as comunicações de servidor para membro.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Configure as políticas do grupo a serem baixadas para membros do grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security group-vpn server
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security group-vpn server ike { proposal srv-prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy srv-pol { mode main; proposals srv-prop; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway gw1 { ike-policy srv-pol; address 10.1.0.1; } gateway gw2 { ike-policy srv-pol; address 10.2.0.1; } } ipsec { proposal group-prop { authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } } group grp1 { group-id 1; ike-gateway gw1; ike-gateway gw2; anti-replay-time-window 120; server-address 20.0.0.1; ipsec-sa group-sa { proposal group-prop; match-policy p1 { source 10.1.0.0/16; destination 10.2.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p2 { source 10.2.0.0/16; destination 10.1.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p3 { source 10.1.1.1/16; destination 239.1.1.1/32; source-port 0; destination-port 0; protocol 0; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Configurando o membro1
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar o membro1:
Configure a Fase 1 SA (essa configuração deve combinar com a SA da Fase 1 configurada no servidor do grupo).
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
Defina a política de IKE e defina os gateways remotos.
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Configure o identificador de grupo, o gateway IKE e a interface para o membro1.
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelos membros do grupo para se conectar à rede MPLS seja configurada para um tamanho de MTU não maior que 1400 bytes. Use a
set interface mtu
declaração de configuração para definir o tamanho do MTU.Crie livros de endereços e conecte zonas a eles.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Configure uma política de escopo da zona de confiança para a zona não confiável que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Configure uma política de escopo da zona não confiável para a zona de confiança que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security group-vpn member
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@member1# show security group-vpn member ike { proposal prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol1 { mode main; proposals prop1; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway g1 { ike-policy pol1; address 20.0.0.1; local-address 10.1.0.1; } } ipsec { vpn v1 { ike-gateway g1; group-vpn-external-interface ge-0/1/0; group 1; } }
[edit] user@member1# show security policies from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } policy default-deny { match { source-address any; destination-address any; application any; } then { deny; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Configuração do membro2
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar o membro2:
Configure a Fase 1 SA (essa configuração deve combinar com a SA da Fase 1 configurada no servidor do grupo).
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
Defina a política de IKE e defina o gateway remoto.
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
Configure o identificador de grupo, o gateway IKE e a interface para o membro2.
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelos membros do grupo para se conectar à rede MPLS seja configurada para um tamanho de MTU não maior que 1400 bytes. Use a
set interface mtu
declaração de configuração para definir o tamanho do MTU.Crie uma lista de endereços e conecte-a à zona de confiança.
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
Crie outro catálogo de endereços e conecte-o à zona não confiável.
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
Configure uma política de escopo da zona de confiança para a zona não confiável que bloqueia o tráfego de 10.1.0.0/16.
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Configure uma política de escopo da zona não confiável para a zona de confiança que bloqueia o tráfego até 10.1.0.0/16.
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security group-vpn member
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@member2# show security group-vpn member ike { proposal prop2 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol2 { mode main; proposals prop2; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway g2 { ike-policy pol2; address 20.0.0.1; local-address 10.2.0.1; } } ipsec { vpn v2 { ike-gateway g2; group-vpn-external-interface ge-0/1/0; group 1; } }
[edit] user@member2# show security policies from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy deny2 { match { source-address 10_1_0_0_16; destination-address any; application any; } then { reject; } } policy scope2 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy multicast-scope2 { match { source-address 10_subnet; destination-address multicast-net; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy deny2 { match { source-address any; destination-address 10_1_0_0_16; application any; } then { reject; } } policy scope2 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy multicast-scope2 { match { source-address 10_subnet; destination-address multicast-net; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy default-deny { match { source-address any; destination-address any; application any; } then { deny; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute esta tarefa:
Verificação de políticas dinâmicas para o membro1
Propósito
Veja as políticas dinâmicas instaladas no membro1.
Ação
Após o servidor do grupo baixar as chaves do membro1, insira o comando do show security dynamic-policies
modo operacional.
user@member1> show security dynamic-policies Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4 Policy Type: Dynamic Sequence number: 1 From zone: untrust, To zone: trust Source addresses: 10.1.0.0/16 Destination addresses: 10.2.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5 Policy Type: Dynamic Sequence number: 2 From zone: trust, To zone: untrust Source addresses: 10.1.0.0/16 Destination addresses: 10.2.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Significado
A política multicast p3 do servidor não está instalada no membro1 porque não há nenhuma política de escopo configurada no membro1 que permita o tráfego multicast.
Verificação de políticas dinâmicas para o membro2
Propósito
Veja as políticas dinâmicas instaladas no membro 2.
Ação
Após o servidor do grupo baixar as chaves do membro2, insira o show security dynamic-policies
comando do modo operacional.
user@member2> show security dynamic-policies Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4 Policy Type: Dynamic Sequence number: 1 From zone: untrust, To zone: trust Source addresses: 10.1.0.0/16 Destination addresses: 10.2.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4 Policy Type: Dynamic Sequence number: 1 From zone: untrust, To zone: trust Source addresses: 10.1.1.1/32 Destination addresses: 239.1.1.1/32 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5 Policy Type: Dynamic Sequence number: 2 From zone: trust, To zone: untrust Source addresses: 10.2.0.0/16/0 Destination addresses: 10.1.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5 Policy Type: Dynamic Sequence number: 2 From zone: trust, To zone: untrust Source addresses: 10.1.1.1/32 Destination addresses: 239.1.1.1/32 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Significado
A política p2 (para tráfego de 10.1.0.0/16 a 10.2.0.0/16) do servidor não está instalada no membro2, porque corresponde à política de segurança deny2 configurada no membro2.
Exemplo: Configuração da comunicação de membros do servidor VPNv1 do grupo para mensagens rekey da Unicast
Este exemplo mostra como permitir que o servidor envie mensagens de rekey unicast aos membros do grupo para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.
Requisitos
Antes de começar:
Configure o servidor e os membros do grupo para a negociação da Fase 1 do IKE.
Configure o servidor do grupo e os membros para a Fase 2 IPsec SA.
Configure o grupo
g1
no servidor do grupo.
Visão geral
Neste exemplo, você especifica os seguintes parâmetros de comunicação entre membros do servidor para grupo g1
:
O servidor envia mensagens rekey unicast para membros do grupo.
O 3des-cbc é usado para criptografar o tráfego entre o servidor e os membros.
sha1 é usado para autenticação de membros.
Os valores padrão são usados para pulsações de servidor, vida útil kek e retransmissões.
Configuração
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a comunicação entre membros do servidor:
Definir o tipo de comunicação.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Definir o algoritmo de criptografia.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Definir a autenticação do membro.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security group-vpn server group g1 server-member-communication
comando.
Exemplo: Configuração da comunicação de membros do servidor VPNv1 do grupo para mensagens rekey multicast
Este exemplo mostra como permitir que o servidor envie mensagens rekey multicast aos membros do grupo para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.
Requisitos
Antes de começar:
Configure o servidor e os membros do grupo para a negociação da Fase 1 do IKE e a Fase 2 IPsec SA. Veja exemplo: Configuração do servidor e membros do VPNv1 do grupo ou exemplo: Configuração do VPNv1 do grupo com a colocação de membros do servidor.
Configure o ge-0/0/1.0, que é a interface que o servidor usará para o envio de mensagens multicast. Consulte a biblioteca de protocolos de roteamento do Junos OS.
Configure o endereço do grupo multicast 226.1.1.1. Consulte a biblioteca de protocolos de roteamento do Junos OS.
Os protocolos ip multicast devem ser configurados para permitir a entrega de tráfego multicast na rede. Este exemplo não mostra configuração multicast.
Visão geral
Neste exemplo, você especifica a seguinte comunicação entre membros do servidor para grupo g1
:
O servidor envia mensagens rekey multicast aos membros do grupo por meio do endereço multicast 226.1.1.1 e interface ge-0/0/1.0.
O 3des-cbc é usado para criptografar o tráfego entre o servidor e os membros.
sha1 é usado para autenticação de membros.
Os valores padrão são usados para pulsações de servidor, vida útil kek e retransmissões.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a configuração da comunicação entre membros do servidor para mensagens rekey multicast:
Definir o tipo de comunicação.
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
Definir o grupo multicast.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
Definir a interface para mensagens multicast de saída.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
Definir o algoritmo de criptografia.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Definir a autenticação do membro.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security group-vpn server group g1 server-member-communication
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação da comunicação entre membros do servidor para mensagens rekey multicast
Propósito
Verifique se os parâmetros de comunicação de membros do servidor para mensagens rekey multicast estão configurados corretamente para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo.
Ação
A partir do modo operacional, entre no show security group-vpn server group g1 server-member-communication
comando.
Exemplo: Configuração do VPNv1 do grupo com a colocação de membros do servidor
Este exemplo mostra como configurar um dispositivo para o modo colocation, que permite que as funções de servidor e membro coexistam no mesmo dispositivo físico. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.
Requisitos
Antes de começar:
Configure os dispositivos de segurança da Juniper Networks para comunicação de rede.
Configure interfaces de rede em dispositivos de servidor e membros. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
Quando o modo colocation é configurado, as funções de servidor de grupo e membro de grupo podem coexistir no mesmo dispositivo. No modo colocation, o servidor e o membro devem ter endereços IP diferentes para que os pacotes sejam entregues corretamente.
In, uma VPN em Figura 3grupo (identificador de grupo é 1) consiste em dois membros (membro1 e membro2) e um servidor de grupo (o endereço IP da interface de loopback é 20.0.0.1). Observe que o membro1 coexiste no mesmo dispositivo que o servidor do grupo. Neste exemplo, a interface que o membro1 usa para se conectar à rede MPLS (ge-0/1/0) recebe o endereço IP 10.1.0.1/32.
As instruções de configuração neste tópico descrevem como configurar o dispositivo de servidor-membro1 do grupo para o modo de colocação. Para configurar o membro2, veja Exemplo: Configuração do servidor e membros do VPNv1 do grupo.
Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelo membro do grupo para se conectar à rede MPLS seja configurada para um tamanho de MTU não maior que 1400 bytes. Use a set interface mtu
declaração de configuração para definir o tamanho do MTU.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a VPN do grupo com a colocação de membros do servidor:
Configure o endereço de loopback no dispositivo.
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Configure a interface que o membro1 usa para se conectar à rede MPLS.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
Configure a colocação de VPN em grupo no dispositivo.
[edit security group-vpn] user@host# set co-location
Configure a SA da Fase 1 do IKE para o servidor (esta configuração deve combinar com a Fase 1 SA configurada em membros do grupo).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina a política de IKE e defina os gateways remotos.
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Configure a troca de SA da Fase 2 para o servidor.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Configure o identificador do grupo, o gateway IKE, o tempo de antireplay e o endereço do servidor no servidor.
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
Configure o servidor para as comunicações dos membros.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Configure as políticas do grupo a serem baixadas para membros do grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Configure a Fase 1 SA para membro1 (esta configuração deve combinar com a Sa da Fase 1 configurada para o servidor do grupo).
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina a política e defina o gateway remoto para membro1.
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Configure o identificador de grupo, o gateway IKE e a interface para o membro1.
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Crie livros de endereços e conecte-os a zonas.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Configure uma política de escopo da zona de confiança para a zona não confiável que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Configure uma política de escopo da zona não confiável para a zona de confiança que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security group-vpn
comando e show security policies
entrando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Na lista de políticas de segurança configuradas, certifique-se de que as políticas de escopo estejam listadas antes das políticas padrão.
[edit] user@host# show security group-vpn member { ike { proposal prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol1 { mode main; proposals prop1; pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA } gateway g1 { ike-policy pol1; address 20.0.0.1; local-address 10.1.0.1; } } ipsec { vpn v1 { ike-gateway g1; group-vpn-external-interface ge-0/1/0; group 1; } } } server { ike { proposal srv-prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy srv-pol { mode main; proposals srv-prop; pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA } gateway gw1 { ike-policy srv-pol; address 10.1.0.1; } gateway gw2 { ike-policy srv-pol; address 10.2.0.1; } } ipsec { proposal group-prop { authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } } group grp1 { group-id 1; ike-gateway gw1; ike-gateway gw2; anti-replay-time-window 120; server-address 20.0.0.1; server-member-communication { communication-type unicast; encryption-algorithm aes-128-cbc; sig-hash-algorithm md5; certificate srv-cert; } ipsec-sa group-sa { proposal group-prop; match-policy p1 { source 10.1.0.0/16; destination 10.2.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p2 { source 10.2.0.0/16; destination 10.1.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p3 { source 10.1.1.1/16; destination 239.1.1.1/32; source-port 0; destination-port 0; protocol 0; } } } } co-location;
[edit] user@host# show security policies from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy default-deny { match { source-address any; destination-address any; application any; } then { deny; } } policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação do registro de membros de VPN do grupo
- Verificação das associações de segurança de servidores VPN do grupo para IKE
- Verificação das associações de segurança de servidores VPN do grupo para IPsec
- Verificação das associações de segurança de membros de VPN do grupo para IKE
- Verificação das associações de segurança de membros de VPN do grupo para IPsec
Verificação do registro de membros de VPN do grupo
Propósito
Verifique se os membros da VPN do grupo estão registrados corretamente.
Ação
A partir do modo operacional, entre no show security group-vpn registered-members
comando.
Verificação das associações de segurança de servidores VPN do grupo para IKE
Propósito
Verifique os SAs do servidor VPN do grupo para IKE.
Ação
A partir do modo operacional, entre no show security group-vpn server ike security-associations
comando.
Verificação das associações de segurança de servidores VPN do grupo para IPsec
Propósito
Verifique os SAs do servidor VPN do grupo para IPsec.
Ação
A partir do modo operacional, entre no show security group-vpn server ipsec security-associations
comando.
Verificação das associações de segurança de membros de VPN do grupo para IKE
Propósito
Verifique os SAs dos membros vpn do grupo para IKE.
Ação
A partir do modo operacional, entre no show security group-vpn member ike security-associations
comando.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.