- play_arrow Configuração comum para todas as VPNs
- play_arrow Visão geral das VPNs
- play_arrow Atribuição de instâncias de roteamento a VPNs
- play_arrow Distribuição de rotas em VPNs
- Habilitando o intercâmbio de informações de roteamento para VPNs
- Configuração de sessões do IBGP entre roteadores PE em VPNs
- Configuração de rótulos agregados para VPNs
- Configuração de um protocolo de sinalização e LSPs para VPNs
- Configuração de políticas para a tabela VRF sobre roteadores PE em VPNs
- Configurando a origem da rota para VPNs
- play_arrow Distribuição de rotas de VPN com filtragem de alvos
- Configuração da filtragem de alvo de rota BGP para VPNs
- Exemplo: filtragem de alvos de rota BGP para VPNs
- Exemplo: Configuração da filtragem de alvo de rota BGP para VPNs
- Configuração da filtragem de alvos de rota estática para VPNs
- Entendendo a filtragem de alvos de rota BGP proxy para VPNs
- Exemplo: Configuração da filtragem de alvos de rota BGP proxy para VPNs
- Exemplo: Configuração de uma política de exportação para filtragem de alvos de rota BGP para VPNs
- Redução do uso de recursos de rede com filtragem de alvos de rota estática para VPNs
- play_arrow Configuração de opções de encaminhamento para VPNs
- play_arrow Configuração de reinício gracioso para VPNs
- play_arrow Configurando classe de serviço para VPNs
- play_arrow VPNs de ping
-
- play_arrow Configuração comum para VPNs de camada 2 e VPLS
- play_arrow Visão geral
- play_arrow Visão geral da configuração de VPNs de camada 2
- play_arrow Configuração de interfaces de camada 2
- play_arrow Configuração da seleção de caminhos para VPNs de camada 2 e VPLS
- play_arrow Criação de conexões de backup com pseudowires redundantes
- play_arrow Configurando classe de serviço para VPNs de camada 2
- play_arrow Monitoramento de VPNs de camada 2
- Configuração de BFD para VPN de camada 2 e VPLS
- Suporte de BFD para VCCV para VPNs de camada 2, circuitos de camada 2 e VPLS
- Configuração de BFD para VCCV para VPNs de camada 2, circuitos de camada 2 e VPLS
- Suporte de gerenciamento de falhas de conectividade para visão geral da VPN de EVPN e Camada 2
- Configure um deputado para gerar e responder a mensagens de protocolo CFM
-
- play_arrow Configuração de VPNs de grupo
- play_arrow Configuração de circuitos de camada 2
- play_arrow Visão geral
- play_arrow Visão geral da configuração de circuitos de camada 2
- Configuração de circuitos estáticos de camada 2
- Configuração da comutação de interface local em circuitos de camada 2
- Configuração de interfaces para circuitos de camada 2
- Exemplo: Configuração do status pseudowire TLV
- Configuração de políticas para circuitos de camada 2
- Configuração do LDP para circuitos de camada 2
- play_arrow Configurando classe de serviço com circuitos de camada 2
- play_arrow Configuração da redundância pseudowire para circuitos de camada 2
- play_arrow Configuração do balanceamento de carga para circuitos de camada 2
- play_arrow Configuração de recursos de proteção para circuitos de camada 2
- LSPs de proteção de saída para circuitos de camada 2
- Configuração do espelhamento do serviço de proteção de saída para serviços de Camada 2 sinalizados pelo BGP
- Exemplo: configuração de um LSP de proteção de saída para um circuito de camada 2
- Exemplo: Configuração de interfaces de proteção de circuito de camada 2
- Exemplo: Configuração da proteção de comutação de circuito de Camada 2
- play_arrow Monitoramento de circuitos de camada 2 com BFD
- play_arrow Resolução de problemas de circuitos de camada 2
-
- play_arrow Configuração de VPWS VPNs
- play_arrow Visão geral
- play_arrow Configuração de VPWS VPNs
- Entendendo a autodiscovamento BGP DA FEC 129 para VPWS
- Exemplo: Configuração do autodiscovery BGP FEC 129 para VPWS
- Exemplo: Configuração do espelhamento do serviço de proteção de saída MPLS para serviços de camada 2 sinalizados para BGP
- Entendendo o Pseudowire multissegment para o FEC 129
- Exemplo: configuração de um Pseudowire multissegment
- Configurando o rótulo fat flow para pseudowires FEC 128 VPWS para o tráfego MPLS com balanceamento de carga
- Configurando o rótulo FAT Flow para pseudowires VPWS FEC 129 para o tráfego MPLS com balanceamento de carga
-
- play_arrow Configuração de VPLS
- play_arrow Visão geral
- play_arrow Visão geral da configuração do VPLS
- play_arrow Configuração de protocolos de sinalização para VPLS
- Roteamento VPLS e portas virtuais
- Visão geral da sinalização BGP para roteadores VPLS PE
- Control Word para visão geral do BGP VPLS
- Configurando uma palavra de controle para BGP VPLS
- Refletores de rota BGP para VPLS
- Interoperabilidade entre a sinalização BGP e a sinalização de LDP em VPLS
- Configurando a interoperabilidade entre a sinalização BGP e a sinalização LDP em VPLS
- Exemplo: Configuração de VPLS (sinalização BGP)
- Exemplo: Configuração de VPLS (intertrabalho de BGP e LDP)
- play_arrow Atribuição de instâncias de roteamento a VPLS
- Configuração de instâncias de roteamento VPLS
- Configuração de uma instância de roteamento VPLS
- Suporte à lista VLAN interna e ao alcance VLAN interno para podas de BUM qualificadas em uma interface de tag dupla para uma visão geral da instância de roteamento VPLS
- Configuração de podas DE BUM qualificadas para uma interface de dupla tag com lista VLAN interna e intervalo InnerVLAN para uma instância de roteamento VPLS
- Configuração de uma instância de roteamento de protocolo de controle de camada 2
- Grupos de malha de roteador PE para instâncias de roteamento VPLS
- Configuração da prioridade de redirecionamento rápido de VPLS
- Especificando as interfaces VT usadas por instâncias de roteamento VPLS
- Entendendo o PIM Snooping para VPLS
- Exemplo: Configuração do PIM Snooping para VPLS
- O rótulo VPLS bloqueia a operação
- Configuração do tamanho do bloco de rótulos para VPLS
- Exemplo: criação de VPLS do roteador 1 ao roteador 3 para validar blocos de rótulos
- play_arrow Associação de interfaces com VPLS
- play_arrow Configuração de pseudowires
- Configuração de pseudowires estáticos para VPLS
- Processo de seleção de caminho VPLS para roteadores PE
- Seleção de caminhos BGP e VPLS para roteadores DEP multihomed
- Perfis dinâmicos para pseudowires VPLS
- Casos de uso para perfis dinâmicos para pseudowires VPLS
- Exemplo: configuração de pseudowires VPLS com perfis dinâmicos — soluções básicas
- Exemplo: configuração de pseudowires VPLS com perfis dinâmicos — soluções complexas
- Configurando o rótulo fat flow para pseudowires VPLS FEC 128 para o tráfego MPLS com balanceamento de carga
- Configurando o rótulo FAT Flow para pseudowires VPLS FEC 129 para o tráfego MPLS com balanceamento de carga
- Exemplo: configuração da interoperação VPLS baseada em H-VPLS e baseada em LDP
- Exemplo: configuração de H-VPLS baseados em BGP usando diferentes grupos de malha para cada roteador spoke
- Exemplo: configuração de H-VPLS baseado em LDP usando um único grupo de malha para encerrar os circuitos de Camada 2
- Exemplo: configuração de H-VPLS com VLANs
- Exemplo: configuração de H-VPLS sem VLANs
- Configure a redundância pseudowire em hot-standby em H-VPLS
- Cenário de amostra de H-VPLS em roteadores da Série ACX para serviços IPTV
- play_arrow Configuração do multihoming
- Visão geral multihoming do VPLS
- Vantagens de usar autodiscovery para multihoming VPLS
- Exemplo: Configuração do autodiscovery BGP FEC 129 para VPWS
- Exemplo: Configuração do BGP Autodiscovery para LDP VPLS
- Exemplo: Configuração do BGP Autodiscovery para LDP VPLS com grupos de malha definidos pelo usuário
- Reações multihoming de VPLS a falhas de rede
- Configuração do multihoming VPLS
- Exemplo: Multihoming VPLS, melhor tempo de convergência
- Exemplo: Configuração do multihoming VPLS (FEC 129)
- VPLS de próxima geração para multicast com visão geral multihoming
- Exemplo: VPLS de próxima geração para multicast com multihoming
- play_arrow Configuração de LSPs de ponto a multiponto
- Visão geral do encaminhamento de ponto a multiponto VPLS de próxima geração
- Exemplo: NG-VPLS usando LSPs ponto a multiponto
- Inundação de tráfego desconhecido usando LSPs ponto a multiponto em VPLS
- Exemplo: Configuração da replicação de entrada para IP Multicast usando MVPNs MBGP
- Mapeamento do tráfego VPLS para LSPs específicos
- play_arrow Configuração de VPLS inter-AS e VPLS IRB
- play_arrow Configuração de balanceamento de carga e desempenho
- Configuração do balanceamento de carga VPLS
- Configuração do balanceamento de carga VPLS com base em informações de IP e MPLS
- Configuração do balanceamento de carga de VPLS em plataformas de roteamento universal 5G da Série MX
- Exemplo: Configuração da prevenção de loops na rede VPLS devido a movimentos MAC
- Entendendo o MAC Pinning
- Configuração do MAC Pinning em interfaces de acesso para domínios de ponte
- Configuração do MAC Pinning em interfaces de tronco para domínios de ponte
- Configuração do MAC Pinning em interfaces de acesso para domínios bridge em um switch virtual
- Configuração do MAC Pinning em interfaces de tronco para domínios de ponte em um switch virtual
- Configuração do mac pinning para todos os pseudowires da instância de roteamento VPLS (LDP e BGP)
- Configuração do mac pinning na interface VPLS CE
- Configuração do mac pinning para todos os pseudowires do site VPLS em uma instância de roteamento VPLS baseada em BGP
- Configuração do mac pinning em todos os pseudowires de um vizinho específico da instância de roteamento VPLS baseada em LDP
- Configuração do mac pinning em interfaces de acesso para sistemas lógicos
- Configuração do mac pinning em interfaces de tronco para sistemas lógicos
- Configuração do MAC Pinning em interfaces de acesso em switches virtuais para sistemas lógicos
- Configuração do MAC Pinning em interfaces de tronco em switches virtuais para sistemas lógicos
- Configuração do mac pinning para todos os pseudowires da instância de roteamento VPLS (LDP e BGP) para sistemas lógicos
- Configuração do mac pinning na interface VPLS CE para sistemas lógicos
- Configuração do mac pinning para todos os pseudowires do site VPLS em uma instância de roteamento VPLS baseada em BGP para sistemas lógicos
- Configuração do mac pinning em todos os pseudowires de um vizinho específico da instância de roteamento VPLS baseada em LDP para sistemas lógicos
- Exemplo: Prevenção de loops em domínios de ponte ao habilitar o recurso MAC Pinnning em interfaces de acesso
- Exemplo: Prevenção de loops em domínios de ponte ao habilitar o recurso MAC Pinnning em interfaces de tronco
- Configuração de aprendizado de endereço MAC VPLS melhorado em roteadores T4000 com FPCs tipo 5
- Entendendo o aprendizado mac qualificado
- Comportamento de instâncias de roteamento VPLS de aprendizado qualificado
- Configuração do aprendizado MAC qualificado
- play_arrow Configuração da classe de filtros de serviço e firewall no VPLS
- play_arrow VPLS de monitoramento e rastreamento
-
- play_arrow Conectando VPNs e circuitos de camada 2 a outras VPNs
- play_arrow Conectando VPNs de camada 2 a outras VPNs
- VPN de camada 2 para conexões VPN de Camada 2
- Usando a Interface de Intertrabalho de Camada 2 para interconectar uma VPN de Camada 2 a uma VPN de Camada 2
- Exemplo: interconexão de uma VPN de Camada 2 com uma VPN de Camada 2
- Interconexão de VPNs de camada 2 com visão geral das VPNs de Camada 3
- Exemplo: interconexão de uma VPN de Camada 2 com uma VPN de Camada 3
- play_arrow Conectando circuitos de camada 2 a outras VPNs
- Usando a interface de intertrabalho de camada 2 para interconectar um circuito de camada 2 a uma VPN de camada 2
- Aplicativos para interconectar um circuito de camada 2 com um circuito de camada 2
- Exemplo: interconexão de um circuito de Camada 2 com uma VPN de Camada 2
- Exemplo: interconexão de um circuito de camada 2 com um circuito de camada 2
- Aplicativos para interconectar um circuito de Camada 2 com uma VPN de Camada 3
- Exemplo: interconexão de um circuito de Camada 2 com uma VPN de Camada 3
-
- play_arrow Declarações de configuração e comandos operacionais
Exemplo: configurar um dispositivo para validação da cadeia de certificados peer
Este exemplo mostra como configurar um dispositivo para cadeias de certificados usadas para validar dispositivos peer durante a negociação do IKE.
Requisitos
Antes de começar, obtenha o endereço da autoridade de certificados (CA) e as informações necessárias (como a senha do desafio) quando você enviar solicitações de certificados locais.
Visão geral
Este exemplo mostra como configurar um dispositivo local para cadeias de certificados, inscrever CA e certificados locais, verificar a validade dos certificados inscritos e verificar o status de revogação do dispositivo peer.
Topologia
Este exemplo mostra a configuração e os comandos operacionais no Host-A, como mostrado na Figura 1. Um perfil ca dinâmico é criado automaticamente no Host-A para permitir que o Host-A baixe o CRL da Sales-CA e verifique o status de revogação do certificado do Host-B.
A configuração de VPN IPsec para negociação de Fase 1 e Fase 2 é mostrada para Host-A neste exemplo. O dispositivo peer (Host-B) deve ser configurado corretamente para que as opções de Fase 1 e Fase 2 sejam negociadas com sucesso e as associações de segurança (SAs) sejam estabelecidas.
Configuração
Para configurar um dispositivo para cadeias de certificados:
Configure perfis de CA
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check use-crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check use-crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check use-crl
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar perfis de CA:
Crie o perfil ca para Root-CA.
content_copy zoom_out_map[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check use-crl
Crie o perfil ca para Eng-CA.
content_copy zoom_out_map[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check use-crl
Crie o perfil ca para Dev-CA.
content_copy zoom_out_map[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check use-crl
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security pki
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security pki ca-profile Root-CA { ca-identity Root-CA; enrollment { url "http:/;/10.157.88.230:8080/scep/Root/"; } revocation-check { use-crl; } } ca-profile Eng-CA { ca-identity Eng-CA; enrollment { url "http:/;/10.157.88.230:8080/scep/Eng/"; } revocation-check { use-crl; } } ca-profile Dev-CA { ca-identity Dev-CA; enrollment { url "http:/;/10.157.88.230:8080/scep/Dev/"; } revocation-check { use-crl; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Inscrever certificados
Procedimento passo a passo
Para inscrever certificados:
Inscreva-se nos certificados de CA.
content_copy zoom_out_mapuser@host> request security pki ca-certificate enroll ca-profile Root-CA
content_copy zoom_out_mapuser@host> request security pki ca-certificate enroll ca-profile Eng-CA
content_copy zoom_out_mapuser@host> request security pki ca-certificate enroll ca-profile Dev-CA
Digite yes as solicitações para carregar o certificado ca.
Verifique se os certificados de CA estão inscritos no dispositivo.
content_copy zoom_out_mapuser@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = juniper, CN = Root-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(2048 bits)
content_copy zoom_out_mapuser@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = juniper, CN = Root-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(2048 bits)
content_copy zoom_out_mapuser@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = juniper, CN = Eng-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(2048 bits)
Verifique a validade dos certificados de CA inscritos.
content_copy zoom_out_mapuser@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
content_copy zoom_out_mapuser@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
content_copy zoom_out_mapuser@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
Inscreva-se no certificado local.
content_copy zoom_out_mapuser@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password juniper domain-name host-a.company.net email host-a@company.net subject DC=juniper,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
Verifique se o certificado local está inscrito no dispositivo.
content_copy zoom_out_mapuser@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = juniper, CN = Dev-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(1024 bits)
Verifique a validade do certificado local inscrito.
content_copy zoom_out_mapuser@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
Verifique o download de CRL para perfis de CA configurados.
content_copy zoom_out_mapuser@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Root-CA Effective date: 09- 9-2015 13:08 Next update: 09-21-2015 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Eng-CA Effective date: 08-22-2015 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Dev-CA Effective date: 09-14-2015 21:15 Next update: 09-26-2012 11:02
Configure opções de VPN IPsec
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-method rsa-signatures set services ipsec-vpn ike proposal ike_cert_prop_01 dh-group group5 set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-algorithm sha1 set services ipsec-vpn ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set services ipsec-vpn ike policy ike_cert_pol_01 mode main set services ipsec-vpn ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set services ipsec-vpn ike policy ike_cert_pol_01 certificate local-certificate Host-A set services ipsec-vpn ipsec proposal ipsec_prop_01 protocol esp set services ipsec-vpn ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec proposal ipsec_prop_01 lifetime-seconds 300 set services ipsec-vpn ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set services ipsec-vpn ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar opções de VPN IPsec:
Configure opções de Fase 1.
content_copy zoom_out_map[edit services ipsec-vpn ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit services ipsec-vpn ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A
Configure opções de Fase 2.
content_copy zoom_out_map[edit services ipsec-vpn ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit services ipsec-vpn ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit services ipsec-vpn ipsec vpn ipsec_cert_vpn_01] user@host# set ike ipsec-policy ipsec_pol_01
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security ike
comandos e show security ipsec
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show services ipsec-vpn ike proposal ike_cert_prop_01 { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ike_cert_pol_01 { mode main; proposals ike_cert_prop_01; certificate { local-certificate Host-A; } } [edit] user@host# show services ipsec-vpn ipsec proposal ipsec_prop_01 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 300; } policy ipsec_pol_01 { proposals ipsec_prop_01; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Se a validação do certificado for bem-sucedida durante a negociação do IKE entre dispositivos peer, ambas as associações de segurança IKE e IPsec (SAs) serão estabelecidas.
Verificando o status da Fase 1 do IKE
Propósito
Verifique o status da Fase 1 do IKE.
Ação
Insira o comando do show services ipsec-vpn ike security-associations modo operacional.
user@host> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 192.0.2.0 Matured 63b3445edda507fb 2715ee5895ed244d Main
Verificando o status da Fase 2 do IPsec
Propósito
Verifique o status da Fase 2 do IPsec.
Ação
Insira o comando do show services ipsec-vpn ipsec security-associations modo operacional.
user@host> show services ipsec-vpn ipsec security-associations Service set: ips_ss1, IKE Routing-instance: default Rule: vpn_rule_ms_2_2_01, Term: term11, Tunnel index: 1 Local gateway: 10.0.1.2, Remote gateway: 172.16.0.0 IPSec inside interface: ms-2/2/0.1, Tunnel MTU: 1500 UDP encapsulate: Disabled, UDP Destination port: 0 Direction SPI AUX-SPI Mode Type Protocol inbound 2151932129 0 tunnel dynamic ESP outbound 4169263669 0 tunnel dynamic ESP
Falha de IKE e IPsec SA para um certificado revogado
Verificação de certificados revogados
Problema
Se a validação do certificado falhar durante a negociação do IKE entre dispositivos peer, verifique se o certificado do peer não foi revogado. Um perfil ca dinâmico permite que o dispositivo local baixe o CRL do CA do peer e verifique o status de revogação do certificado do peer. Para habilitar perfis dinâmicos de CA, a opção revocation-check crl
deve ser configurada em um perfil de CA dos pais.
Solução
Para verificar o status de revogação do certificado de um peer:
Identifique o perfil ca dinâmico que mostrará o CRL para o dispositivo peer entrando no comando a show security pki crl partir do modo operacional.
content_copy zoom_out_mapuser@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
O perfil
dynamic-001
ca é criado automaticamente no Host-A para que o Host-A possa baixar o CRL do CA do Host-B (Sales-CA) e verificar o status de revogação do certificado do peer.Exibir informações de CRL para o perfil dinâmico de CA entrando no comando a show security pki crl ca-profile dynamic-001 detail partir do modo operacional.
Entrar
content_copy zoom_out_mapuser@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTC
O certificado de host-B (número de série 10647084) foi revogado.