Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

自动发现 VPN

自动发现 VPN (ADVPN) 在分支之间动态建立 VPN 隧道,以避免通过中枢路由流量。

了解自动发现 VPN

自动发现 VPN (ADVPN) 是一种允许中央中枢动态通知分支两个分支之间流量的更好路径的技术。当两个分支都确认来自中枢的信息时,它们会建立一个捷径隧道并更改路由拓扑,以便主机到达另一端,而无需通过中枢发送流量。

ADVPN 协议

ADVPN 使用 IKEv2 协议的扩展在两个对等方之间交换消息,从而允许分支在彼此之间建立快捷方式隧道。支持 ADVPN 扩展的设备在初始 IKE 交换期间在 IKEv2 通知有效负载中发送ADVPN_SUPPORTED通知,包括其功能信息和 ADVPN 版本号。支持 ADVPN 的设备可以充当 快捷方式建议程序 或快捷方式伙伴,但不能同时充当两者。

建立快捷方式

当 IPsec VPN 网关注意到流量正在与其一个对等方一起退出隧道,而与另一个对等方一起进入隧道时,它可以充当 快捷方式建议程序图 1 显示从分支 1 到分支 3 通过中枢的流量。

图 1: 通过中心的分支到分支流量 通过中心的分支到分支流量

在设备上配置 ADVPN 时,将在中心和分支之间交换 ADVPN 快捷方式功能信息。只要分支 1 和分支 3 之前已向中心播发 ADVPN 快捷方式伙伴功能,中心就可以建议分支 1 和分支 3 在彼此之间建立快捷方式。

快捷方式建议器将其已建立的 IKEv2 SA 与对等方一起使用,开始与两个对等方之一进行快捷方式交换。如果对等方接受快捷方式交换,则快捷方式建议器将开始与其他对等方进行快捷方式交换。快捷方式交换包括允许对等方(称为 快捷方式伙伴)相互建立 IKE 和 IPsec SA 的信息。只有在两个对等方都接受快捷方式交换后,才会开始在快捷方式伙伴之间创建快捷方式。

图 2 显示通过分支 1 和分支 3 之间的快捷方式的流量。从分支 1 到分支 3 的流量不需要遍历中枢。

图 2: 通过快捷方式的分支到分支流量 通过快捷方式的分支到分支流量

快捷方式发起方和响应方角色

快捷方式建议器选择其中一个快捷方式伙伴作为快捷方式的发起者;另一个伙伴充当响应者。如果其中一个合作伙伴位于 NAT 设备后面,则会选择 NAT 设备后面的合作伙伴作为启动器。如果 NAT 设备后面没有一个伙伴,建议器会随机选择其中一个伙伴作为发起方;另一个伙伴充当响应者。如果两个合作伙伴都在 NAT 设备后面,则无法在它们之间创建快捷方式;建议器不会向任何对等方发送快捷方式交换。

快捷方式建议器首先开始与响应程序进行快捷方式交换。如果响应方接受快捷方式建议,则建议方会通知发起方。

使用快捷方式建议程序通知中包含的信息,快捷方式发起方与响应方建立 IKEv2 交换,并在两个伙伴之间建立新的 IPsec SA。在每个伙伴上,到其伙伴后面网络的路由现在指向快捷方式,而不是伙伴和建议器之间的隧道。来自其中一个伙伴后面的流量,发往另一个快捷伙伴后面的网络,流经该快捷方式。

如果合作伙伴拒绝快捷方式建议,则合作伙伴会通知建议者拒绝的原因。在这种情况下,伙伴之间的流量将继续流经快捷方式建议器。

快捷方式属性

快捷方式从快捷方式建议器接收其某些属性,而其他属性则继承自建议器合作伙伴 VPN 隧道配置。 表 1 显示快捷方式的参数。

表 1: 快捷键参数

属性

接收/继承自

ADVPN

配置

防重放

配置

身份验证算法

配置

失效对等体检测

配置

DF 位

配置

加密算法

配置

建立隧道

建议器

外部接口

配置

网关策略

配置

通用 IKE ID

配置

IKE 版本

配置

安装间隔

配置

本地地址

配置

本地标识

建议器

NAT 遍历

配置

完全向前保密

配置

协议

配置

代理编号

不适用

远程地址

建议器

远程身份

建议器

响应不良 SPI

配置

流量选择器

不适用

快捷终止

默认情况下,快捷方式无限期持续。如果流量在指定时间内低于指定速率,快捷方式合作伙伴将终止快捷方式。默认情况下,如果流量在 300 秒内低于每秒 5 个数据包,快捷方式将被终止;空闲时间和空闲阈值可以为合作伙伴配置。您可以使用或clear security ipsec security-association命令手动clear security ike security-association删除任一快捷方式伙伴上的快捷方式,以清除相应的 IKE 或 IPsec SA。任一快捷方式伙伴都可以随时通过向另一个快捷方式伙伴发送 IKEv2 删除有效负载来终止快捷方式。

快捷方式终止时,将删除相应的 IKE SA 和所有子 IPsec SA。快捷方式终止后,两个快捷方式伙伴上的相应路由都将被删除,两个对等方之间的流量将再次流经建议器。快捷方式终止信息从合作伙伴发送到建议器。

快捷方式的生存期与快捷方式建议器和快捷方式伙伴之间的隧道无关。快捷方式不会仅仅因为建议器和伙伴之间的隧道终止而终止。

使用 PIM 的组播支持

SRX 系列防火墙支持 ADVPN 基础架构中点对多点 (P2MP) 模式下的协议无关组播 (PIM)。您可以使用 P2MP 模式在防火墙的安全隧道接口 st0 上启用 PIM。ADVPN 中使用 PIM 对多播流量的支持类似于 AutoVPN 中提供的支持。ADVPN 在配置多播支持时遵循与 AutoVPN 相同的注意事项。有关了解在 P2MP 基础结构上使用 PIM 的组播支持的更多详细信息,请参阅 了解 AutoVPN。要在 st0 P2MP 接口上启用 PIM,请执行以下操作:

  • 对于使用 kmd 进程的 IPsec VPN 服务,必须运行 Junos OS 19.2R1 或更高版本。您可以使用平台 SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0(带 2 个 vCPU)和 vSRX 3.0(带 2 个 vCPU)。

  • 对于使用 iked 进程的 IPsec VPN 服务,必须运行 Junos OS 24.2R1 或更高版本。您可以使用 SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、 SRX4600 和 vSRX 3.0 平台。

  • 在多节点高可用性环境中,P2MP 组播是使用节点本地隧道实现的。st0 接口上的路由协议不支持同步状态隧道。请参阅 多节点高可用性中的 IPsec VPN 支持

其中一个 SRX 系列防火墙是快捷方式建议器,其余防火墙是快捷方式合作伙伴。通常,组播发送方位于快捷方式建议器后面,而组播接收方位于快捷方式伙伴后面。对于组播支持,建议器和伙伴设备上的安全隧道接口 st0 配置为 PIM P2MP 模式。在上述每台设备上,st0 P2MP 接口跟踪每个邻接方的所有 PIM 联接,以确保组播转发或复制仅发生在处于联接状态的邻接方。

SRX 系列防火墙支持通过 st0 P2MP 接口在 PIM 稀疏模式下的 IP 组播流量。建议器充当第一跳路由器 (FHR) 或集合点 (RP)。合作伙伴可以充当 P2MP 网络中的最后一跳路由器 (LHR)。网络中的设备将组播数据包复制到加入组播组的邻接方。

有关如何在 P2MP 基础结构上配置 PIM 的详细信息,请参阅 在 P2MP 基础结构上配置组播支持

ADVPN 配置限制

配置 ADVPN 时,请注意以下限制:

  • ADVPN 仅支持站点到站点通信。仅在 AutoVPN 中心上允许配置 ADVPN 建议器。

  • 不能同时配置建议者和合作伙伴角色。在网关上启用 ADVPN 后,无法在网关上同时禁用建议者和合作伙伴角色。

  • 您无法在同时位于 NAT 设备后面的伙伴之间创建快捷方式。仅当其中一个伙伴位于 NAT 设备后面或 NAT 设备后面没有伙伴时,建议程序才能启动快捷方式交换。

  • 要将 IPv6 地址用于 ADVPN,请执行以下操作:

    • 对于使用 kmd 进程的 IPsec VPN 服务,必须在 SRX 系列防火墙上运行 Junos OS 18.1R1 或更高版本。

    • 对于采用 iked 进程的 IPsec VPN 服务,必须在 SRX 系列防火墙上运行 Junos OS 24.2R1 或更高版本。

    • 您必须在所有中心辐射设备上配置 st0 接口,使其支持 P2MP。

    • 您必须运行动态路由协议 (DRP)(如 OSPFv3),以更新通过静态隧道的快捷隧道的路由首选项。

    • 请注意,您无法使用基于 IPv6 P2MP st0 接口的 ADVPN 配置 VPN 监视器功能。

  • 您可以使用支持 IPv6 地址或 IPv4 地址的 DRP 运行 ADVPN 服务,但不能同时使用两者。

  • 对于合作伙伴上的配置更改,例如启用、禁用或角色更改,iked:

    1. 拆解并重新协商静态 IKE SA 和 IPsec SA,以交换新功能。

    2. 清除快捷方式 IKE SA 和 IPsec SA 以及存在的建议信息。

  • 对于非 ADVPN 配置更改,例如:

    1. 静态隧道配置更改导致同时清除静态 IKE SA 和 IPsec SA,iked 会拆除快捷方式 IKE SA 和 IPsec SA。iked 清理建议信息。快捷方式隧道不会再次重新协商,直到它收到来自建议器的快捷方式建议。

    2. 静态隧道配置更改仅导致清除静态隧道 IPsec SA,IKED 会拆除快捷方式 IKE SA 和 IPsec SA。iked 清理建议信息。快捷方式隧道不会再次重新协商,直到它收到来自建议器的快捷方式建议。

我们不支持将 ADVPN 与 kmd 和 iked 进程进行以下配置:

  • IKEv1

  • 基于策略的 VPN

  • IKEv2 配置有效负载

  • 流量选择器

  • 点对点安全隧道接口

  • 种子预共享密钥

  • 共享预共享密钥 - 不支持 kmd 进程

了解使用快捷方式隧道进行流量路由

隧道抖动或灾难性变化都可能导致静态隧道和快捷方式隧道出现故障。发生这种情况时,到特定目标的流量可能会通过意外的快捷方式隧道路由,而不是通过预期的静态隧道。

在 中 图 3,中心和每个分支之间存在静态隧道。OSPF 邻接关系在中心和分支之间建立。分支 A 还具有与分支 B 的快捷方式隧道,并且在分支之间建立了 OSPF 邻接关系。中心(快捷方式建议器)识别出,如果中心和分支 A 之间的连接中断,则可以通过分支 B 和分支 A 之间的快捷方式隧道访问分支 A 的网络。

图 3: 在中心辐射型网络中建立静态隧道和快捷隧道在中心辐射型网络中建立静态隧道和快捷隧道

在 中 图 4,中心辐射和分支 A 之间的静态隧道已关闭。如果有从分支 C 到分支 A 的新流量,分支 C 会将流量转发到中心,因为它没有与分支 A 的快捷方式隧道。中心没有与分支 A 的活动静态隧道,但它识别到分支 A 和分支 B 之间存在快捷方式隧道,因此它将流量从分支 C 转发到分支 B。

图 4: 从分支 C 到分支 A 的流量路径从分支 C 到分支 A 的流量路径

只要分支 B 和分支 C 都支持自动发现 VPN (ADVPN) 合作伙伴功能,中心就可以建议分支在彼此之间建立直接快捷方式。即使两个分支之间没有直接流量,也会发生这种情况。从分支 C 到分支 A 的流量先通过分支 C 和分支 B 之间的快捷隧道,然后通过分支 B 和分支 A 之间的快捷隧道(请参阅 图 5)。

图 5: 通过快捷隧道从分支 C 到分支 A 的流量路径通过快捷隧道从分支 C 到分支 A 的流量路径

重新建立中心和分支 A 之间的静态隧道时,该隧道将播发至所有分支。分支 C 了解到到达分支 A 有更好的路线;它不是通过分支 B 传递流量,而是将分支 A 的流量转发到中心。集线器建议在分支 C 和分支 A 之间建立快捷方式隧道。在分支 C 和分支 A 之间建立快捷隧道后,流量将流经快捷隧道(请参阅 图 6)。分支 C 和分支 A 之间的流量不再通过分支 B,分支 B 和分支 C 之间的快捷方式隧道最终会消失。

图 6: 通过快捷隧道从分支 C 到分支 A 的流量路径通过快捷隧道从分支 C 到分支 A 的流量路径

您可以使用 connection-limit [edit security ike gateway gateway-name advpn partner] 层次结构级别的选项来设置可以使用特定网关与不同快捷方式伙伴创建的快捷方式隧道的最大数量。最大数量(也是默认值)取决于平台。

另请参阅

示例:通过自动发现 VPN 动态隧道提高网络资源利用率

如果要部署 AutoVPN 网络,则可以通过配置自动发现 VPN (ADVPN) 来提高网络资源利用率。在 AutoVPN 网络中,VPN 流量流经中枢,即使流量从一个辐条传输到另一个辐条。ADVPN 允许在分支之间动态建立 VPN 隧道,从而提高网络资源利用率。使用此示例配置 ADVPN,以便在 AutoVPN 网络中启用动态分支到分支 VPN 隧道。

要求

此示例使用以下硬件和软件组件:

  • 三个支持 SRX 系列防火墙作为 AutoVPN 中心和辐射。

  • 支持 ADVPN 的 Junos OS 12.3X48-D10 或更高版本。

  • 在中心辐射中注册的数字证书,允许设备相互进行身份验证。

准备工作:

  1. 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。请参阅 了解本地证书请求

  2. 在每个设备中注册数字证书。请参阅 示例:手动加载 CA 和本地证书。

此示例使用 OSPF 动态路由协议以及静态路由配置通过 VPN 隧道转发数据包。您应该熟悉用于通过 VPN 隧道转发数据包的 OSPF 动态路由协议。

概述

此示例显示了 ADVPN 的 AutoVPN 中心和两个分支的配置。分支与中心建立 IPsec VPN 连接,使它们能够相互通信以及访问中心上的资源。虽然流量最初通过中心从一个分支传递到另一个分支,但 ADVPN 允许分支在彼此之间建立直接的安全关联。集线器充当快捷方式建议器。在中心,ADVPN 配置禁用该 partner 角色。在辐射上,ADVPN 配置禁用该 suggester 角色。

在 AutoVPN 中心和分支上配置的某些第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 2 显示了此示例中使用的值。

表 2: ADVPN 的 AutoVPN 中心辐射的第 1 阶段和第 2 阶段选项示例

选项

value

IKE 提案:

身份验证方法

rsa-signatures

Diffie-Hellman (DH) 组

group5

身份验证算法

sha1

加密算法

aes-256-cbc

IKE 策略:

证书

本地证书

IKE 网关:

版本

仅 v2

IPsec 提议:

协议

esp

身份验证算法

HMAC-SHA1-96

加密算法

aes-256-cbc

IPsec 策略:

完全向前保密 (PFS) 组

组5

中心辐射上的 IKE 网关配置包括标识 VPN 对等方的远程和本地值。 表 3 显示了此示例中中心辐射的 IKE 网关配置。

表 3: ADVPN 的 IKE 网关配置示例

选项

枢纽

辐条

远程 IP 地址

动态

辐条1:11.1.1.1

辐条2:11.1.1.1

本地 IP 地址

11.1.1.1

辐条1:21.1.1.2

辐条2:31.1.1.2

远程 IKE ID

可分辨名称 (DN),在分支证书的组织 (O) 字段中带有字符串“XYZ”,在组织单位 (OU) 字段中带有“Sales”

在中心证书的 OU 字段中具有字符串“Sales”的 DN

本地 IKE ID

集线器证书上的 DN

辐射证书上的 DN

如果分支证书的主题字段在 O 字段中包含字符串“XYZ”,在 OU 字段中包含字符串“Sales”,则中心将验证分支的 IKE ID。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 7 显示了要为此示例配置的 SRX 系列防火墙。

图 7: 使用 ADVPN 部署 AutoVPN使用 ADVPN 部署 AutoVPN

配置

配置建议器 (集线器)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置建议器:

  1. 配置接口。

  2. 配置路由协议和静态路由。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置证书信息。

  6. 配置区域。

  7. 配置默认安全策略。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pki、 和show security zonesshow security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置合作伙伴(分支 1)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议和静态路由。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置证书信息。

  6. 配置区域。

  7. 配置默认安全策略。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pki、 和show security zonesshow security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置合作伙伴(分支 2)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置分支 2:

  1. 配置接口。

  2. 配置路由协议和静态路由。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置证书信息。

  6. 配置区域。

  7. 配置默认安全策略。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pki、 和show security zonesshow security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。首先,验证是否已在 AutoVPN 中心和分支之间建立隧道。当流量通过中心从一个分支传递到另一个分支时,可以在分支之间建立快捷方式。验证快捷方式伙伴是否已在它们之间建立隧道,以及伙伴上是否安装了到对等方的路由。

验证中心和分支之间的隧道

目的

验证是否已在 AutoVPN 中心和分支之间建立隧道。从一个辐条到另一个辐条的初始流量必须通过中枢。

操作

在操作模式下,在中心辐射上输入 show security ike security-associationsshow security ipsec security-associations 命令。

在集线器上输入以下命令:

在分支 1 上输入以下命令:

在分支 2 上输入以下命令:

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。该 show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。中心显示两个活动隧道,每个分支一个。每个分支都显示一条通往中心的活动隧道。

如果未列出 IKE 第 1 阶段的 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

如果未列出 IKE 第 2 阶段的 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

show route protocol ospf 命令显示路由表中从 OSPF 协议获知的条目。该 show ospf neighbor 命令显示有关 OSPF 邻接方的信息。

验证合作伙伴之间的快捷方式隧道

目的

当 AutoVPN 中枢注意到流量通过其一个分支退出隧道并使用另一个分支进入隧道时,它可以充当快捷方式建议器。将在两个快捷方式伙伴之间建立新的 IPsec SA 或快捷方式。在每个伙伴上,到其伙伴后面网络的路由现在指向快捷方式隧道,而不是伙伴和建议器(集线器)之间的隧道。

操作

在操作模式下,在辐射上输入 show security ike security-associationsshow security ipsec security-associationsshow route protocol ospfshow ospf neighbor 命令。

在集线器上输入以下命令:

在分支 1 上输入以下命令:

在分支 2 上输入以下命令:

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。该 show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。中心仍显示两个活动隧道,每个分支一个。每个分支显示两个活动隧道,一个到中心,一个到其快捷方式伙伴。

show route protocol ospf 命令显示向合作伙伴和中心添加的路由。

另请参阅

示例:使用 OSPFv3 配置 ADVPN 以实现 IPv6 流量

此示例说明如何配置 ADVPN 中心和两个分支以创建快捷方式隧道并更改主机的路由拓扑以到达另一端,而无需通过中心发送流量。此示例使用 OSPFv3 配置适用于 IPv6 的 ADVPN 环境,以通过 VPN 隧道转发数据包。

要求

此示例使用以下硬件和软件组件:

  • 三个受支持的 SRX 系列防火墙作为 ADVPN 中心辐射型防火墙

  • Junos OS 版本 18.1R1 或更高版本(如果您的防火墙运行 kmd 进程)。

  • Junos OS 24.2R1 或更高版本(如果您的防火墙运行 iked 进程)。

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了 ADVPN 中心的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。分支的证书在主题字段中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。

分支与中心建立 IPsec VPN 连接,使它们能够相互通信以及访问中心上的资源。在 ADVPN 中心和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 4 显示了此示例中使用的选项。

表 4: ADPN 中心辐射型基本 OSPFv3 配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

19

身份验证算法

SHA-384

加密算法

AES 256 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

生命周期秒数

3000

加密算法

AES 256 GCM

IPsec 策略:

完全向前保密 (PFS) 组

19

在所有设备上配置相同的证书颁发机构 (CA)。

表 5 显示在中心和所有辐射上配置的选项。

表 5: 适用于中心辐射和所有辐射的 ADVPN OSPFv3 配置

选项

枢纽

所有辐条

IKE 网关:

远程 IP 地址

动态

2001:db8:2000::1

远程 IKE ID

分支证书上的可分辨名称 (DN),组织单位 (OU) 字段中的字符串SLT

集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

RETH1

辐条1:ge-0/0/0.0

辐条2:ge-0/0/0.0

VPN:

绑定接口

st0.1

st0.1

建立隧道

(未配置)

立即建立隧道

表 6 显示了每个分支上不同的配置选项。

表 6: OSPFv3 分支配置之间的比较

选项

辐条 1

辐条 2

ST0.1 接口

2001:db8:9000::2/64

2001:db8:9000::3/64

与内部网络的接口

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

互联网接口

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 8 显示了此示例中要为 ADVPN 配置的 SRX 系列防火墙。

图 8: 使用 OSPFv3 部署 ADVPN使用 OSPFv3 部署 ADVPN

配置

若要配置 ADVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

分步过程

要使用分支 2 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

  8. 配置机箱群集

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki show chassis cluster命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 状态

目的

验证 IKE 状态。

操作

在操作模式下,输入 show security ike sa 命令。

意义

show security ike sa 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 状态

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec sa 命令。

意义

show security ipsec sa 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 OSPFv3

目的

验证 OSPFv3 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show ospf3 neighbor interface 命令。

另请参阅

启用 OSPF 以在建立 ADVPN 快捷方式隧道后快速更新路由

问题

Description

OSPF 最多可能需要 9 秒才能更新路由表中的快捷方式路由。流量最多可能需要 10 秒才能转发到快捷方式隧道。

症状

在两个快捷方式伙伴之间建立快捷方式隧道后,OSPF 将启动 OSPF 你好数据包。由于建立快捷方式隧道和 OSPF 邻居安装的时间,隧道中的第一个数据包可能会被丢弃。这可能会导致 OSPF 再次尝试建立 OSPF 邻接关系。

默认情况下,OSPF 重试建立邻接关系的时间间隔为 10 秒。建立快捷方式隧道后,OSPF 可能需要 10 秒以上才能在伙伴之间建立邻接关系。

解决方案

配置较小的重试间隔(如 1 或 2 秒)可以使 OSPF 通过快捷方式隧道更快地建立邻接关系。例如,使用以下配置:

另请参阅

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
24.2R1
Junos OS 24.2R1 版中添加了对运行 iked 进程的防火墙的 ADVPN 的 IPv6 地址支持。
24.2R1
Junos OS 24.2R1 版中添加了对运行 iked 进程的防火墙的 ADVPN 组播流量(IPv4 地址)的支持。
23.4R1
Junos OS 23.4R1 版中添加了对带有防火墙运行 iked 进程的 ADVPN 的支持。
19.2R1
从 Junos OS 版本 19.2R1 开始,在 SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 虚拟防火墙 2.0(带 2 个 vCPU)和 vSRX 虚拟防火墙 3.0(带 2 个 vCPU)系列设备上,使用点对多点 (P2MP) 模式的协议无关组播 (PIM) 支持自动发现 VPN,其中为 PIM 引入了新的 p2mp 接口类型。
18.1R1
从 Junos OS 18.1R1 版开始,ADVPN 通过 kmd 进程支持 IPv6。