Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

中心辐射型设备上的 AutoVPN

AutoVPN 支持一个 IPsec VPN 聚合器(称为集线器),该聚合器充当通往远程站点的多个隧道(称为分支)的单个端点。AutoVPN 允许网络管理员为当前和未来的分支配置中心。

了解自动VPN

AutoVPN 支持一个 IPsec VPN 聚合器(称为 集线器),该聚合器充当通往远程站点的多个隧道(称为 分支)的单个端点。AutoVPN 允许网络管理员为当前和未来的分支配置中心。添加或删除分支设备时,无需在中心更改配置,从而使管理员可以灵活地管理大规模网络部署。

安全隧道模式

基于路由的 IPsec VPN 支持 AutoVPN。对于基于路由的 VPN,您可以配置安全隧道 (st0) 接口并将其绑定到 IPsec VPN 隧道。AutoVPN 网络中的 st0 接口可以配置为以下两种模式之一:

  • 点对点模式 — 默认情况下,在 [edit interfaces st0 unit x] 层次结构级别配置的 st0 接口处于点对点模式。从 Junos OS 17.4R1 版开始,AutoVPN 支持 IPv6 地址。

  • 点对多点模式 - 在此模式下, multipoint 在 AutoVPN 中心和分支上的 [edit interfaces st0 unit x] 层次结构级别配置选项。 中心和分支上的 st0 接口必须编号,并且在分支上配置的 IP 地址必须存在于中心的 st0 接口子网中。

表 1 比较 AutoVPN 点对点和点对多点安全隧道接口模式。

表 1: AutoVPN 点对点和点对多点安全隧道模式之间的比较

点对点模式

点对多点模式

支持 IKEv1 或 IKEv2。

支持 IKEv1 或 IKEv2。

支持 IPv4 和 IPv6 流量。

支持 IPv4 或 IPv6。

流量选择器

动态路由协议(OSPF、OSPFv3 和 iBGP)

失效对等体检测

失效对等体检测

允许分支设备为 SRX 系列或第三方设备。

此模式仅受 SRX 系列防火墙支持。

身份验证

AutoVPN 支持基于证书和预共享密钥的身份验证方法。

对于 AutoVPN 中心辐射中基于证书的身份验证,可以使用 X.509 公钥基础结构 (PKI) 证书。在中心配置的组 IKE 用户类型允许指定字符串以匹配分支证书中的备用使用者字段。还可以指定分支证书中主题字段的部分匹配项。请参见 了解 AutoVPN 部署中的分支身份验证

从 Junos OS 21.2R1 版开始,SRX5000带有 SPC3 卡和运行 iked 进程的 vSRX 虚拟防火墙的线路支持带有种子预共享密钥的 AutoVPN。

注:

带有 SPC3 卡和 vSRX 虚拟防火墙的 SRX5000 系列仅当您安装软件包时, junos-ike 才支持带有 PSK 的 AutoVPN。

我们通过以下两个选项支持 AutoVPN:

  • AutoVPN 种子 PSK:连接到具有不同预共享密钥的同一网关的多个对等方。
  • AutoVPN 共享 PSK:多个对等方连接到具有相同预共享密钥的同一网关。

种子 PSK 不同于非种子 PSK(即相同的共享 PSK)。种子 PSK 使用主密钥为对等方生成共享 PSK。因此,每个对等方都有不同的 PSK 连接到同一网关。例如:考虑这样一种情况:具有 IKE ID user1@juniper.net 的对等方 1 和具有 IKE ID user2@juniper.net 的对等方 2 尝试连接到网关。在这种情况下,配置为 HUB_GW 包含配置为 ThisIsMySecretPreSharedkey 的主密钥的网关将具有不同的 PSK,如下所示:

对等 1 79e4ea39f5c06834a3c4c031e37c6de24d46798a

对等 23db8385746f3d1e639435a882579a9f28464e5c7

这意味着,对于具有不同用户 ID 和相同主密钥的不同用户,将生成不同或唯一的预共享密钥。

您可以将 seeded-pre-shared-key 或 用于 pre-shared-key 自动 VPN PSK:

  • 不同的预共享密钥:如果设置了, seeded-pre-shared-key 则 VPN 网关使用不同的 IKE 预共享密钥对每个远程对等方进行身份验证。对等方预共享密钥使用 IKE 网关中的集生成 master-key ,并在对等方之间共享。

    要使 VPN 网关能够使用不同的 IKE 预共享密钥 (PSK) 对每个远程对等方进行身份验证,请使用新的 CLI 命令seeded-pre-shared-key ascii-text或在seeded-pre-shared-key hexadecimal层次结构级别下。[edit security ike policy policy_name]

    此命令与同一层次结构下的命令互 pre-shared-key 斥。

    请参阅 政策

  • 共享/相同预共享密钥:如果未配置,则 pre-shared-key-type PSK 被视为共享。VPN 网关使用相同的 IKE 预共享密钥对所有远程对等方进行身份验证。

    要使 VPN 网关能够使用相同的 IKE PSK 对所有远程对等方进行身份验证,请使用现有 CLI 命令 pre-sharedkey ascii-textpre-shared-key hexadecimal

在 VPN 网关上,您可以使用层次结构级别下的[edit security ike gateway gateway_name dynamic]配置语句绕过 general-ikeid IKE ID 验证。如果配置了此选项,则在对远程对等方进行身份验证期间,VPN 网关将允许任何远程 IKE ID 连接。请参阅 general-ikeid

带有 SPC3 卡和运行 iked 进程的 vSRX 虚拟防火墙(带软件包 junos-ike )的 SRX5000 系列支持以下 IKE 模式:

表 2: AutoVPN PSK 支持

IKE 模式

SRX5000 条线路,SPC3 卡和运行 iked 进程的 vSRX 虚拟防火墙

共享 PSK

种子-PSK

IKEv2

IKEv2 与任意remote-id

IKEv1 主动模式

IKEv1 主动模式,带 any-remote-id/general-ikeid

IKEv1 主模式

IKEv1 主模式,带任意远程 ID/general-ikeid

请参阅 示例:使用预共享密钥配置 AutoVPN。

配置和管理

AutoVPN 使用 CLI 在 SRX 系列防火墙上进行配置和管理。可以在单个 SRX 系列防火墙上配置多个 AutoVPN 集线器。配置的中心支持的最大分支数特定于 SRX 系列防火墙的型号。

使用 PIM 的组播支持

IP 组播通过复制数据包,将流量传送到多个预期接收方。您可以将多播数据用于视频流等应用程序。您的防火墙支持点对多点 (P2MP) 模式下的协议无关组播 (PIM)。您可以在防火墙的安全隧道 st0 接口上启用 PIM,该接口具有 P2MP 模式。该协议从接口配置中检测 P2MP 接口,并支持组播流量。若要了解 PIM,请参阅 PIM 概述

图 1 说明了 P2MP 基础架构中的组播拓扑。

图 1: P2MP 基础架构中的组播拓扑 P2MP 基础架构中的组播拓扑

拓扑显示,其中一个 SRX 系列防火墙充当中心防火墙,其余三个防火墙充当辐射。拓扑中还可以有两个分支。通常,组播发送方位于集线器后面,而组播接收方位于分支后面。对于组播支持,请注意中心辐射型设备上的安全隧道 st0 逻辑接口配置了 PIM P2MP 模式。在上述每台设备上,st0 P2MP 接口跟踪每个邻接方的所有 PIM 联接,以确保组播转发或复制仅发生在处于联接状态的邻接方。

SRX 系列防火墙支持通过 st0 P2MP 接口以 PIM 稀疏模式进行 IP 组播流量。中枢充当第一跃点路由器 (FHR) 或集合点 (RP)。分支可以充当 P2MP 网络中的最后一跳路由器 (LHR)。网络中的设备将组播数据包复制到加入组播组的邻接方。

配置组播流量支持时,请注意以下注意事项:

  • 对于使用 kmd 进程的 IPsec VPN 服务,必须运行 Junos OS 19.2R1 或更高版本。您可以使用平台 SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0(带 2 个 vCPU)和 vSRX 3.0(带 2 个 vCPU)。

  • 对于使用 iked 进程的 IPsec VPN 服务,必须运行 Junos OS 24.2R1 或更高版本。您可以使用 SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、 SRX4600 和 vSRX 3.0 平台。

  • 您无法在 P2MP 接口上配置 IPv6 组播。

  • 要使 IP 组播配置正常工作,必须禁用电源模式 IPsec (PMI)。

  • 不能从 P2MP 接口或到 P2MP 接口执行组播 ping。

  • 请注意,启用 PIM 时,IGMP 默认处于启用状态,但它在 P2MP 接口上不起作用。

有关如何在 P2MP 基础结构上配置组播支持的详细信息,请参阅 在 P2MP 基础结构上配置组播支持

了解 AutoVPN 限制

AutoVPN 不支持以下功能:

  • 不支持基于策略的 VPN。

  • AutoVPN 隧道不支持 RIP 动态路由协议。

  • 不支持手动密钥和具有预共享密钥的自动密钥 IKE。

  • 不支持在辐射中心配置静态下一跃点隧道绑定 (NHTB)。

  • 不支持 IPv6 multicast。

  • 不支持使用 IP 地址作为 IKE ID 的组 IKE ID 用户类型。

  • 使用组 IKE ID 用户类型时,IKE ID 不应与在同一外部接口上配置的其他 IKE 网关重叠。

了解带有流量选择器的 AutoVPN

AutoVPN 中枢可配置多个流量选择器,以保护流向分支的流量。此功能具有以下优点:

  • 单个 VPN 配置可以支持许多不同的对等方。

  • VPN 对等方可以是非 SRX 系列防火墙。

  • 单个对等方可以使用同一 VPN 建立多个隧道。

  • 与使用动态路由协议的 AutoVPN 相比,可以支持更多数量的隧道。

从 Junos OS 17.4R1 版开始,在点对点模式下使用安全隧道接口的 AutoVPN 网络为流量选择器和 IKE 对等方支持 IPv6 地址。

建立中心到分支隧道后,中心使用 自动路由插入 (ARI)(在先前版本中称为 反向路由插入 (RRI))将路由插入到其路由表中的分支前缀。然后,可以将 ARI 路由导入路由协议并分发到核心网络。

对于 IKEv1 和 IKEv2,可以在点对点模式下使用安全隧道 (st0) 接口配置带有流量选择器的 AutoVPN。

配置流量选择器时,st0 接口不支持动态路由协议。

使用流量选择器配置 AutoVPN 时,请注意以下注意事项:

  • 点对点模式下具有 st0 接口的流量选择器不支持动态路由协议。

  • 自动发现 VPN 和 IKEv2 配置有效负载 不能使用带有流量选择器的 AutoVPN 进行配置。

  • 分支可以是非 SRX 系列防火墙;但是,请注意以下差异:

    • 在 IKEv2 中,非 SRX 系列分支可以在单个 SA 协商中建议多个流量选择器。SRX 系列防火墙不支持此功能,协商将被拒绝。

    • 非 SRX 系列分支可以识别流量选择器使用的特定端口或协议。SRX 系列防火墙上的流量选择器不支持端口和协议,协商将被拒绝。

了解 AutoVPN 部署中的分支身份验证

在 AutoVPN 部署中,中心辐射设备必须加载有效的 X.509 PKI 证书。您可以使用命令 show security pki local-certificate detail 显示有关设备中加载的证书的信息。

本主题介绍中心上允许分支使用证书进行身份验证并连接到中心的配置:

集线器上的组 IKE ID 配置

组 IKE ID 功能允许多个分支设备在中心共享 IKE 配置。在每个分支的 X.509 证书的主题或备用主题字段中,证书持有者的标识必须包含所有分支通用的部分;为集线器上的 IKE 配置指定证书标识的公共部分。

例如,可以在中心位置上配置 IKE ID example.net ,以使用主机名 device1.example.netdevice2.example.netdevice3.example.net标识分支。每个分支上的证书必须在备用主题字段中 example.net 包含主机名标识,该字段的最右侧部分必须包含主机名标识;例如 device1.example.net。在此示例中,所有分支在其 IKE ID 有效负载中使用此主机名标识。在 IKE 协商期间,分支中的 IKE ID 用于匹配中枢上配置的对等 IKE 身份的公共部分。有效的证书可对分支进行身份验证。

证书标识的公共部分可以是以下部分之一:

  • 证书的备用使用者字段最右侧的部分主机名,例如 example.net

  • 证书的备用主题字段最右侧的部分电子邮件地址,例如 @example.net

  • 容器字符串和/或一组通配符,以匹配证书的主题字段。主题字段包含采用抽象语法表示法一 (ASN.1) 可分辨名称 (DN) 格式的数字证书持有者的详细信息。字段可以包括组织、组织单位、国家/地区、地点或公用名。

    要将组 IKE ID 配置为匹配证书中的使用者字段,可以指定以下类型的身份匹配:

    • 容器 — 如果分支证书的主题字段与中心配置的值完全匹配,则中心将验证分支的 IKE ID。可以为每个主题字段指定多个条目(例如, ou=eng,ou=sw)。字段中值的顺序必须匹配。

    • 通配符 — 如果分支证书的主题字段与中心配置的值匹配,则中心将验证分支的 IKE ID。通配符匹配仅支持每个字段一个值(例如, ou=engou=sw ,但不支持 ou=eng,ou=sw)。字段的顺序无关紧要。

以下示例在证书的备用使用者字段中使用部分主机名 example.net 配置组 IKE ID。

在此示例中, example.net 是用于所有分支的主机名标识的公共部分。分支上的所有 X.509 证书都必须在备用主题字段中 example.net 包含主机名标识,并在最右侧部分包含主机名标识。所有分支都必须在其 IKE ID 有效负载中使用主机名标识。

以下示例使用通配符配置组 IKE ID,以匹配证书的组织单位和example组织主题字段中的值sales

在此示例中,字段 ou=sales,o=example 是辐射中预期证书中主题字段的公共部分。在 IKE 协商期间,如果分支提供证书中包含主题字段 cn=alice,ou=sales,o=example 的证书,则身份验证成功并建立隧道。如果分支提供证书中带有主题字段 cn=thomas,ou=engineer,o=example 的证书,则中心将拒绝该证书,因为组织单位应拒绝该证书 sales

排除分支连接

若要从连接到中心的过程中排除特定分支,必须吊销该分支的证书。中心需要从包含已吊销证书序列号的 CA 检索最新的证书吊销列表 (CRL)。然后,中心将拒绝来自已吊销分支的 VPN 连接。在最新的 CRL 在中心可用之前,中心可能会继续从已吊销的分支建立隧道。有关详细信息,请参阅 了解联机证书状态协议和证书吊销列表了解证书颁发机构配置文件

AutoVPN 配置概述

以下步骤介绍了在中心辐射设备上配置 AutoVPN 的基本任务。AutoVPN 中心为所有当前分支和新分支配置 一次

要配置 AutoVPN 集线器,请执行以下操作:

  1. 在设备中注册 CA 证书和本地证书。
    • 如果您没有 CA 证书,则可以使用基于预共享密钥的身份验证。

  2. 创建安全隧道 (st0) 接口并将其配置为点对多点模式。
  3. 配置单个 IKE 策略。
  4. 使用所有分支通用的组 IKE ID 配置 IKE 网关。
  5. 配置单个 IPsec 策略和 VPN。
  6. 配置动态路由协议。

要配置 SRX 系列 AutoVPN 分支设备,请执行以下操作:

  1. 在设备中注册 CA 证书和本地证书。

    • 如果在 Hub 上配置预共享密钥身份验证,请使用基于预共享密钥的身份验证方法。

  2. 创建 st0 接口并将其配置为点对多点模式。

  3. 配置 IKE 策略以匹配中心上配置的 IKE 策略。

  4. 使用 ID 配置 IKE 网关,使其与集线器上配置的组 IKE ID 匹配。

  5. 配置 IPsec 策略以匹配中心上配置的 IPsec 策略。

  6. 配置动态路由协议。

本主题中列出的示例使用运行 Junos OS 的 SRX 系列防火墙进行中心辐射配置。如果分支设备未运行 Junos OS,则需要配置下一跃点隧道绑定。有关详细信息,请参阅 示例:使用下一跃点隧道绑定配置多点 VPN 配置。

示例:使用 iBGP 配置基本 AutoVPN

此示例说明如何将 AutoVPN 中心配置为充当单个终结点,然后将两个分支配置为充当到远程站点的隧道。此示例将 iBGP 配置为通过 VPN 隧道转发数据包,并使用基于证书的身份验证。

有关使用预共享密钥进行身份验证的信息,请参阅 分步过程 中心 位置的“配置第 1 阶段选项”步骤以配置中心、 分步过程 分支 1 以配置分支 1,分支 分步过程 2 以配置分支 2。

要求

此示例使用以下硬件和软件组件:

  • 三个受支持的 SRX 系列防火墙作为 AutoVPN 中心和分支

  • 支持 AutoVPN 的 Junos OS 12.1X44-D10 及更高版本

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议的特定要求的详细信息,请参阅 路由协议概述

概述

此示例显示了 AutoVPN 中心的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。分支的证书在主题字段中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。

分支与中心建立 IPsec VPN 连接,使它们能够相互通信以及访问中心上的资源。在 AutoVPN 中心和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 3 显示了此示例中使用的选项。

表 3: AutoVPN 中心辐射配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

2

身份验证算法

SHA-1

加密算法

AES 128 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

身份验证算法

HMAC MD5 96

加密算法

加拿大广播公司

IPsec 策略:

完全向前保密 (PFS) 组

14

在所有设备上配置相同的证书颁发机构 (CA)。

Junos OS 仅支持单级证书层次结构。

表 4 显示在中心和所有辐射上配置的选项。

表 4: 中心辐射和所有辐射的 AutoVPN 配置

选项

枢纽

所有辐条

IKE 网关:

远程 IP 地址

动态

1 0.1.1.1

远程 IKE ID

分支证书上的可分辨名称 (DN),组织单位 (OU) 字段中的字符串SLT

集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/1.0

辐条1:铁-0/0/1.0

辐条2:ge-0/0/1.0

VPN:

绑定接口

st0.0

st0.0

建立隧道

(未配置)

配置提交后立即

表 5 显示了每个分支上不同的配置选项。

表 5: 分支配置之间的比较

选项

辐条 1

辐条 2

ST0.0 接口

10.10.10.2/24

10.10.10.3/24

与内部网络的接口

(fe-0.0/4.0) 10.60.60.1/24

(fe-0.0/4.0) 10.70.70.1/24

互联网接口

(fe-0/0/1.0) 10.2.2.1/30

(ge-0/0/1.0) 10.3.3.1/30

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 2 显示了此示例中要为 AutoVPN 配置的 SRX 系列防火墙。

图 2: 使用 iBGP 进行基本 AutoVPN 部署 使用 iBGP 进行基本 AutoVPN 部署

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。如果您使用的是 PSK,请忽略此步骤。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

分步过程

要使用分支 2 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

    如果您打算使用预共享密钥而不是证书进行身份验证,请在配置中进行以下更改:

    • 在 ike 提议中,在 [edit security ike proposal ike-proposal] 层次结构级别,替换为 authentication-method rsa-signaturesauthentication-method pre-shared-keys.

      有关选项的详细信息,请参阅提议(安全 IKE)。

    • 在 ike 策略的 [edit security ike policy policy-name] 层次结构级别,替换为 certificate local-certificate Local1pre-shared-key ascii-text key

      • 例如, set pre-shared-key ascii-text juniper123

      有关选项的详细信息,请参阅策略 (安全 IKE)。

    • 在 IKE 网关的 [edit security ike gateway hub-to-spoke-gw] 层次结构级别,

      • 替换为 dynamic distinguished-name wildcard OU=SLTdynamic hostname domain-name.

        • 例如, set dynamic hostname juniper.net

          确保您的设备能够解析主机名。或者,也可以对分支动态标识使用 set dynamic general-ikeidset dynamic ike-user-type group-ike-id

      • 替换为 local-identity distinguished-namelocal-identity hostname hub-hostname.

        • 例如, set local-identity hostname hub.juniper.net.

          确保您的设备能够解析主机名。或者,也可以如 inet ip-address 中使用 中的 。set local-identity inet 192.168.1.100

      有关选项的详细信息,请参阅网关(安全 IKE)。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。如果您使用的是 PSK,请忽略此步骤。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

    如果您打算使用预共享密钥而不是证书进行身份验证,请在配置中进行以下更改。

    • 在 ike 提议中,在 [edit security ike proposal ike-proposal] 层次结构级别,替换为 authentication-method rsa-signaturesauthentication-method pre-shared-keys.

    • 在 ike 策略的 [edit security ike policy policy-name] 层次结构级别,替换为 certificate local-certificate Local1pre-shared-key ascii-text key

    • 在 IKE 网关的 [edit security ike gateway hub-to-spoke-gw] 层次结构级别,

      • 替换为 local-identity distinguished-namelocal-identity hostname spoke1-hostname.

        • 例如, set local-identity hostname spoke1.juniper.net.

      • 替换为 remote-identity distinguished-nameremote-identity hostname hub-hostname.

        • 例如, set remote-identity hostname hub.juniper.net

      确保您的设备能够解析主机名。或者,您也可以在 inet ip-address 和 中使用 set local-identity inet 172.16.1.100 as 和 set remote-identity inet 192.168.1.100

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。如果您使用的是 PSK,请忽略此步骤。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

    如果您打算使用预共享密钥而不是证书进行身份验证,请在配置中进行以下更改。

    • 在 ike 提议中,在 [edit security ike proposal ike-proposal] 层次结构级别,替换为 authentication-method rsa-signaturesauthentication-method pre-shared-keys.

    • 在 ike 策略的 [edit security ike policy policy-name] 层次结构级别,替换为 certificate local-certificate Local1pre-shared-key ascii-text key

    • 在 IKE 网关的 [edit security ike gateway hub-to-spoke-gw] 层次结构级别,

      • 替换为 local-identity distinguished-namelocal-identity hostname spoke2-hostname.

        • 例如, set local-identity hostname spoke2.juniper.net

      • 替换为 remote-identity distinguished-nameremote-identity hostname hub-hostname.

        • 例如, set remote-identity hostname hub.juniper.net

      确保您的设备能够解析主机名。或者,您也可以在 inet ip-address 和 中使用 set local-identity inet 10.0.1.100 as 和 set remote-identity inet 192.168.1.100

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。如果您使用的是 PSK,请忽略此步骤。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 security ipsec security-associations 命令。

意义

show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 BGP

目的

验证 BGP 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show bgp summary 命令。

验证学习的路由

目的

验证是否已获知到分支的路由。

操作

在操作模式下,输入 show route 10.60.60.0 命令。

在操作模式下,输入 show route 10.70.70.0 命令。

示例:为 IPv6 流量配置带有 iBGP 的基本 AutoVPN

此示例说明如何将 AutoVPN 中心配置为充当单个终结点,然后将两个分支配置为充当到远程站点的隧道。此示例使用 iBGP 配置 AutoVPN for IPv6 环境,以使用基于证书的身份验证通过 VPN 隧道转发数据包。 要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 三个支持 SRX 系列防火墙作为 AutoVPN 中心和辐射。

  • Junos OS 18.1R1 及更高版本。

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议的特定要求的详细信息,请参阅 路由协议概述

概述

此示例显示了 AutoVPN 中心的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。分支的证书在主题字段中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。

分支与中心建立 IPsec VPN 连接,使它们能够相互通信以及访问中心上的资源。在 AutoVPN 中心和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 6 显示了此示例中使用的选项。

表 6: AutoVPN 中心辐射配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

19

身份验证算法

SHA-384

加密算法

AES 256 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

终身秒数

3000

加密算法

AES 256 GCM

IPsec 策略:

完全向前保密 (PFS) 组

19

在所有设备上配置相同的证书颁发机构 (CA)。

Junos OS 仅支持单级证书层次结构。

表 7 显示在中心和所有辐射上配置的选项。

表 7: 中心辐射和所有辐射的 AutoVPN 配置

选项

枢纽

所有辐条

IKE 网关:

远程 IP 地址

动态

2001:db8:2000::1

远程 IKE ID

分支证书上的可分辨名称 (DN),组织单位 (OU) 字段中的字符串SLT

集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/0

辐条1:ge-0/0/0.0

辐条2:ge-0/0/0.0

VPN:

绑定接口

st0.1

st0.1

建立隧道

(未配置)

建立隧道流量

表 8 显示了每个分支上不同的配置选项。

表 8: 分支配置之间的比较

选项

辐条 1

辐条 2

ST0.0 接口

2001:db8:7000::2/64

2001:db8:7000::3/64

与内部网络的接口

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

互联网接口

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 3 显示了此示例中要为 AutoVPN 配置的 SRX 系列防火墙。

图 3: 使用 iBGP 进行基本 AutoVPN 部署使用 iBGP 进行基本 AutoVPN 部署

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

分步过程

要使用分支 2 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 状态

目的

验证 IKE 状态。

操作

在操作模式下,输入 show security ike sa 命令。

意义

show security ike sa 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 状态

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec sa 命令。

意义

show security ipsec sa 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 BGP

目的

验证 BGP 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show bgp summary 命令。

示例:使用 iBGP 和 ECMP 配置 AutoVPN

此示例说明如何在 AutoVPN 中心和分支之间配置两个 IPsec VPN 隧道。此示例将 iBGP 配置为具有等价多路径 (ECMP),以使用基于证书的身份验证通过 VPN 隧道转发数据包。要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 两个受支持的 SRX 系列防火墙作为 AutoVPN 中心和分支防火墙

  • 支持 AutoVPN 的 Junos OS 12.1X44-D10 及更高版本

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了具有两个 IPsec VPN 隧道的 AutoVPN 中心和分支的配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。证书在中心和每个 IPsec VPN 隧道的分支中注册。分支的其中一个证书在可分辨名称 (DN) 中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。分支的另一个证书在 DN 中包含 OU 值“SBU”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SBU”。

分支与中心建立 IPsec VPN 连接,从而允许它访问中心上的资源。在 AutoVPN 中心和分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 9 显示了此示例中使用的选项。

表 9: AutoVPN 中心辐射型 iBGP ECMP 配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

2

身份验证算法

SHA-1

加密算法

AES 128 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

身份验证算法

HMAC MD5 96

加密算法

加拿大广播公司

IPsec 策略:

完全向前保密 (PFS) 组

14

在所有设备上配置相同的证书颁发机构 (CA)。

Junos OS 仅支持单级证书层次结构。

表 10 显示在中心和分支上配置的选项。

表 10: 适用于中心辐射型 1 的 AutoVPN iBGP ECMP 配置

选项

枢纽

辐条 1

IKE 网关:

远程 IP 地址

中心到辐射型 GW-1:动态

中心到辐射型 GW-2:动态

分支到集线器-GW-1:1 0.1.1.1

分支到集线器-GW-2:10.1.2.1

远程 IKE ID

中心到辐射型 GW-1:分支证书上的 DN,OU 字段中有字符串SLT

中心到辐射型 GW-2:分支证书上的 DN,OU 字段中有字符串SBU

分支到集线器-GW-1:集线器证书上的 DN

分支到集线器-GW-2:集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

中心到辐射型 GW-1:ge-0/0/1.0

中心到辐射型 GW-2:ge-0/0/2.0

分支到集线器-GW-1:铁-0/0/1.0

分支到集线器-GW-2:铁-0/0/2.0

VPN:

绑定接口

中心到辐射型 VPN-1:st0.0

中心到辐射型 VPN-2:st0.1

分支到集线器-1:st0.0

辐射到中枢-2:st0.1

建立隧道

(未配置)

配置提交后立即

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 4 显示了此示例中要为 AutoVPN 配置的 SRX 系列防火墙。

图 4: 使用 iBGP 和 ECMP 部署 AutoVPN 使用 iBGP 和 ECMP 部署 AutoVPN

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 为每个证书生成一个密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 为每个证书生成一个密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 适用于 SLT 本地 1 和 SBU 本地 2。中心位置上的 IKE 配置包括 OU=SLTOU=SBU 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 security ipsec security-associations 命令。

意义

show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 BGP

目的

验证 BGP 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show bgp summary 命令。

验证学习的路由

目的

验证是否已获知到分支的路由。

操作

在操作模式下,输入 show route 10.60.60.0 detail 命令。

验证转发表中的路由安装

目的

验证转发表中是否已安装到分支的路由。

操作

在操作模式下,输入 show route forwarding-table matching 10.60.60.0 命令。

示例:使用 iBGP 和主动备份隧道配置 AutoVPN

此示例说明如何在 AutoVPN 中心和分支之间配置活动和备份 IPsec VPN 隧道。此示例将 iBGP 配置为使用基于证书的身份验证通过 VPN 隧道转发流量。要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 两个受支持的 SRX 系列防火墙作为 AutoVPN 中心和分支防火墙

  • 支持 AutoVPN 的 Junos OS 12.1X44-D10 及更高版本

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了具有两个 IPsec VPN 隧道的 AutoVPN 中心和分支的配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。证书在中心和每个 IPsec VPN 隧道的分支中注册。分支的其中一个证书在可分辨名称 (DN) 中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。分支的另一个证书在 DN 中包含 OU 值“SBU”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SBU”。

分支与中心建立 IPsec VPN 连接,从而允许它访问中心上的资源。在 AutoVPN 中心和分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 11 显示了此示例中使用的选项。

表 11: AutoVPN 中心辐射型 iBGP 主动备份隧道配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

2

身份验证算法

SHA-1

加密算法

AES 128 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

身份验证算法

HMAC MD5 96

加密算法

加拿大广播公司

IPsec 策略:

完全向前保密 (PFS) 组

14

在所有设备上配置相同的证书颁发机构 (CA)。

Junos OS 仅支持单级证书层次结构。

表 12 显示在中心和分支上配置的选项。

表 12: 适用于中心辐射型 1 的 AutoVPN IBGP 主动备份隧道配置

选项

枢纽

辐条 1

IKE 网关:

远程 IP 地址

中心到辐射型 GW-1:动态

中心到辐射型 GW-2:动态

分支到集线器-GW-1:1 0.1.1.1

分支到集线器-GW-2:10.1.2.1

远程 IKE ID

中心到辐射型 GW-1:分支证书上的 DN,OU 字段中有字符串SLT

中心到辐射型 GW-2:分支证书上的 DN,OU 字段中有字符串SBU

分支到集线器-GW-1:集线器证书上的 DN

分支到集线器-GW-2:集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

中心到辐射型 GW-1:ge-0/0/1.0

中心到辐射型 GW-2:ge-0/0/2.0

分支到集线器-GW-1:铁-0/0/1.0

分支到集线器-GW-2:铁-0/0/2.0

VPN:

绑定接口

中心到辐射型 VPN-1:st0.0

中心到辐射型 VPN-2:st0.1

分支到集线器-1:st0.0

辐射到中枢-2:st0.1

VPN 监视器

中心到辐射型 VPN-1:ge-0/0/1.0(源接口)

中心到辐射型 VPN-2:ge-0/0/2.0(源接口)

分支到集线器-1:10.1.1.1(目标 IP)

辐射到中枢-2:10.1.2.1(目标 IP)

建立隧道

(未配置)

配置提交后立即

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 5 显示了此示例中要为 AutoVPN 配置的 SRX 系列防火墙。

图 5: 使用 iBGP 和主动备份隧道部署 AutoVPN 使用 iBGP 和主动备份隧道部署 AutoVPN

在此示例中,在中心和分支 1 之间建立了两个 IPsec VPN 隧道。路由信息通过每个隧道中的 iBGP 会话进行交换。到 10.60.60.0/24 的路由的最长前缀匹配是通过集线器上的 st0.0 接口。因此,路由的主隧道将通过中心辐射型 1 上的 st0.0 接口。默认路由是通过中心辐射型 1 上 st0.1 接口上的备份隧道。

VPN 监控会检查隧道的状态。如果主隧道出现问题(例如,无法访问远程隧道网关),隧道状态将更改为关闭,发往 10.60.60.0/24 的数据将通过备份隧道重新路由。

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 为每个证书生成一个密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 为每个证书生成一个密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 适用于 SLT 本地 1 和 SBU 本地 2。中心位置上的 IKE 配置包括 OU=SLTOU=SBU 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow policy-optionsshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiesshow security pki命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态(两个隧道均已启动)

目的

当两个 IPSec VPN 隧道都启动时,验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 第 2 阶段状态(两个隧道均已启动)

目的

当两个 IPsec VPN 隧道都已启动时,验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 security ipsec security-associations 命令。

意义

show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道(两个隧道均已启动)

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 BGP(两条隧道均已启动)

目的

验证当两个 IPsec VPN 隧道都启动时,BGP 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show bgp summary 命令。

验证获知的路由(两个隧道都已启动)

目的

验证当两个隧道都启动时,是否已获知到分支的路由。到 10.60.60.0/24 的路由通过 st0.0 接口,默认路由通过 st0.1 接口。

操作

在操作模式下,输入 show route 10.60.60.0 命令。

在操作模式下,输入 show route 0.0.0.0 命令。

验证 IKE 第 1 阶段状态(主隧道已关闭)

目的

当主隧道关闭时,验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 第 2 阶段状态(主隧道已关闭)

目的

当主隧道关闭时,验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 security ipsec security-associations 命令。

意义

show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道(主隧道已关闭)

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联,在本例中为备份 VPN 隧道。

验证 BGP(主隧道已关闭)

目的

验证当主隧道关闭时,BGP 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show bgp summary 命令。

验证获知的路由(主隧道已关闭)

目的

验证在主隧道关闭时是否已获知到分支的路由。到 10.60.60.0/24 的路由和默认路由都通过 st0.1 接口。

操作

在操作模式下,输入 show route 10.60.60.0 命令。

在操作模式下,输入 show route 0.0.0.0 命令。

示例:使用 OSPF 配置基本 AutoVPN

此示例说明如何将 AutoVPN 中心配置为充当单个终结点,然后将两个分支配置为充当到远程站点的隧道。此示例将 OSPF 配置为使用基于证书的身份验证通过 VPN 隧道转发数据包。要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 三个受支持的 SRX 系列防火墙作为 AutoVPN 中心和分支

  • 支持 AutoVPN 的 Junos OS 12.1X44-D10 及更高版本

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了 AutoVPN 中心的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。分支的证书在主题字段中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。

分支与中心建立 IPsec VPN 连接,使它们能够相互通信以及访问中心上的资源。在 AutoVPN 中心和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 13 显示了此示例中使用的选项。

表 13: AutoVPN 中心辐射型基本 OSPF 配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

2

身份验证算法

SHA-1

加密算法

AES 128 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

身份验证算法

HMAC MD5 96

加密算法

加拿大广播公司

IPsec 策略:

完全向前保密 (PFS) 组

14

在所有设备上配置相同的证书颁发机构 (CA)。

Junos OS 仅支持单级证书层次结构。

表 14 显示在中心和所有辐射上配置的选项。

表 14: 适用于中心辐射和所有辐射的 AutoVPN 基本 OSPF 配置

选项

枢纽

所有辐条

IKE 网关:

远程 IP 地址

动态

1 0.1.1.1

远程 IKE ID

分支证书上的可分辨名称 (DN),组织单位 (OU) 字段中的字符串SLT

集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/1.0

辐条1:铁-0/0/1.0

辐条2:ge-0/0/1.0

VPN:

绑定接口

st0.0

st0.0

建立隧道

(未配置)

配置提交后立即

表 15 显示了每个分支上不同的配置选项。

表 15: 基本 OSPF 分支配置之间的比较

选项

辐条 1

辐条 2

ST0.0 接口

10.10.10.2/24

10.10.10.3/24

与内部网络的接口

fe-0.0/4.0:100.60.60.1/24

fe-0.0/4.0:10.70.70.1/24

互联网接口

fe-0/0/1.0:10.2.2.1/30

ge-0/0/1.0:10.3.3.1/30

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 6 显示了此示例中要为 AutoVPN 配置的 SRX 系列防火墙。

图 6: 使用 OSPF 进行基本 AutoVPN 部署 使用 OSPF 进行基本 AutoVPN 部署

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

分步过程

要使用分支 2 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 security ipsec security-associations 命令。

意义

show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 OSPF

目的

验证 OSPF 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show ospf neighbor 命令。

验证学习的路由

目的

验证是否已获知到分支的路由。

操作

在操作模式下,输入 show route 60.60.60.0 命令。

在操作模式下,输入 show route 10.70.70.0 命令。

示例:使用 OSPFv3 配置 AutoVPN 以实现 IPv6 流量

此示例说明如何将 AutoVPN 中心配置为充当单个终结点,然后将两个分支配置为充当到远程站点的隧道。此示例使用 OSPFv3 配置适用于 IPv6 的 AutoVPN 环境,以使用基于证书的身份验证通过 VPN 隧道 转发数据包。要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 三个支持 SRX 系列防火墙作为 AutoVPN 中心和辐射。

  • Junos OS 18.1R1 及更高版本。

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了在中心位置采用 OSPFv3 路由协议的 AutoVPN 配置,以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议 (SCEP) 在每个设备中注册数字证书。分支的证书在主题字段中包含组织单位 (OU) 值“SLT”;中心配置了组 IKE ID,以匹配 OU 字段中的值“SLT”。

分支与中心建立 IPsec VPN 连接,使它们能够相互通信以及访问中心上的资源。在 AutoVPN 中心和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 16 显示了此示例中使用的选项。

表 16: AutoVPN 中心辐射型基本 OSPFv3 配置的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

RSA 数字证书

Diffie-Hellman (DH) 组

19

身份验证算法

SHA-384

加密算法

AES 256 全血细胞计数

IKE 策略:

模式

主要

IPsec 提议:

协议

ESP

生命周期秒数

3000

加密算法

AES 256 GCM

IPsec 策略:

完全向前保密 (PFS) 组

19

在所有设备上配置相同的证书颁发机构 (CA)。

表 17 显示在中心和所有辐射上配置的选项。

表 17: 适用于中心辐射和所有辐射的 AutoVPN OSPFv3 配置

选项

枢纽

所有辐条

IKE 网关:

远程 IP 地址

动态

2001:db8:2000::1

远程 IKE ID

分支证书上的可分辨名称 (DN),组织单位 (OU) 字段中的字符串SLT

集线器证书上的 DN

本地 IKE ID

集线器证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/0

辐条1:ge-0/0/0.0

辐条2:ge-0/0/0.0

VPN:

绑定接口

st0.1

st0.1

建立隧道

(未配置)

配置提交后立即

表 18 显示了每个分支上不同的配置选项。

表 18: OSPFv3 分支配置之间的比较

选项

辐条 1

辐条 2

ST0.1 接口

2001:db8:7000::2/64

2001:db8:7000::3/64

与内部网络的接口

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

互联网接口

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

拓扑学

图 7 显示了此示例中要为 AutoVPN 配置的 SRX 系列防火墙。

图 7: 使用 OSPFv3 进行基本 AutoVPN 部署使用 OSPFv3 进行基本 AutoVPN 部署

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何在中心辐射设备上使用简单证书注册协议 (SCEP) 联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

若要在中心使用 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

要使用分支 1 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

分步过程

要使用分支 2 上的 SCEP 注册数字证书,请执行以下操作:

  1. 配置 CA。

  2. 注册 CA 证书。

    在提示符下键入 yes 以加载 CA 证书。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    主题字段中显示的组织单位 (OU) 为 SLT。中心上的 IKE 配置包括 ou=SLT 用于标识分支。

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置分支 2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

结果

在配置模式下,输入 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zones、 和show security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 状态

目的

验证 IKE 状态。

操作

在操作模式下,输入 show security ike sa 命令。

意义

show security ike sa 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 状态

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec sa 命令。

意义

show security ipsec sa 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证 IPsec 下一跳隧道

目的

验证 IPsec 下一跃点隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是分支接口的 st0 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。

验证 OSPFv3

目的

验证 OSPFv3 是否引用分支接口的 st0 IP 地址。

操作

在操作模式下,输入 show ospf3 neighbor detail 命令。

枢纽:

辐条1:

辐条2:

示例:通过带有流量选择器的 AutoVPN 隧道转发流量

此示例说明如何配置流量选择器(而不是动态路由协议),以通过 AutoVPN 部署中的 VPN 隧道转发数据包。配置流量选择器时,安全隧道 (st0) 接口必须处于点对点模式。流量选择器在中心设备和分支设备上均配置。该示例使用基于证书的身份验证。要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 在机箱群集中连接并配置的两个 SRX 系列防火墙。机箱群集是 AutoVPN 中枢。

  • 配置为 AutoVPN 分支的 SRX 系列防火墙。

  • Junos OS 版本 12.3X48-D10 或更高版本。

  • 在中心设备和分支设备中注册的数字证书,允许设备相互进行身份验证。

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。请参阅 了解本地证书请求

  • 在每个设备中注册数字证书。请参阅 示例:手动加载 CA 和本地证书。

概述

在此示例中,流量选择器是在 AutoVPN 中心辐射型上配置的。只有符合已配置流量选择器的流量才会通过隧道转发。在集线器上,流量选择器配置了本地 IP 地址 192.0.0.0/8 和远程 IP 地址 172.0.0.0/8。在分支上,流量选择器配置了本地 IP 地址 172.0.0.0/8 和远程 IP 地址 192.0.0.0/8。

分支上配置的流量选择器 IP 地址可以是中枢上配置的流量选择器 IP 地址的子集。这称为 流量选择器灵活匹配

在 AutoVPN 中心和分支上配置的某些第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 19 显示此示例中使用的值:

表 19: 带有流量选择器的 AutoVPN 中心辐射的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

rsa-signatures

Diffie-Hellman (DH) 组

group5

身份验证算法

sha-1

加密算法

aes-256-cbc

IKE 策略:

模式

证书

本地证书

IKE 网关:

动态

可分辨名称通配符 DC=Common_component

IKE 用户类型

组 IKE ID

本地标识

可分辨名称

版本

仅限 v1

IPsec 提议:

协议

esp

身份验证算法

HMAC-SHA1-96

加密算法

AES-192-CBC

辈子

3600 秒

150,000 KB

IPsec 策略:

完全向前保密 (PFS) 组

组5

拓扑学

图 8 显示了要为此示例配置的 SRX 系列防火墙。

图 8: 带有流量选择器的自动VPN 带有流量选择器的自动VPN

配置

配置集线器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

从 Junos OS 版本 15.1X49-D120 开始,您可以在 [edit security ike gateway gateway-name dynamic] 层次结构级别配置 CLI 选项reject-duplicate-connection,以保留现有隧道会话并拒绝具有相同 IKE ID 的新隧道的协商请求。默认情况下,当建立具有相同 IKE ID 的新隧道时,将拆除现有隧道。reject-duplicate-connection仅当为 IKE 网关配置 或 ike-user-type shared-ike-idike-user-type group-ike-id,才支持该选项;此选项不支持该aaa access-profile profile-name配置。

仅当您确定应拒绝重新建立具有相同 IKE ID 的新隧道时,才使用 CLI 选项 reject-duplicate-connection

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置第 1 阶段选项。

  3. 配置第 2 阶段选项。

  4. 配置证书信息。

  5. 配置安全区域。

结果

在配置模式下,输入 show interfacesshow security ikeshow security zonesshow security ipsecshow security pki、 和show security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置分支

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置集线器,请执行以下操作:

  1. 配置接口。

  2. 配置第 1 阶段选项。

  3. 配置第 2 阶段选项。

  4. 配置证书信息。

  5. 配置安全区域。

结果

在配置模式下,输入 show interfacesshow security ikeshow security zonesshow security ipsecshow security pki、 和show security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证隧道

目的

验证是否已在 AutoVPN 中心和分支之间建立隧道。

操作

在操作模式下,在中枢上输入 show security ike security-associationsshow security ipsec security-associations 命令。

在操作模式下,在分支上输入 show security ike security-associationsshow security ipsec security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。该 show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。中心显示一个到分支的活动隧道,而分支显示一个到中心的活动隧道。

如果未列出 IKE 第 1 阶段的 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射上匹配。

如果未列出 IKE 第 2 阶段的 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射上匹配。

验证流量选择器

目的

验证流量选择器。

操作

在操作模式下,在中枢上输入 show security ipsec traffic-selector interface-name st0.1 命令。

在操作模式下,在分支上输入 show security ipsec traffic-selector interface-name st0.1 命令。

意义

流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程地址对匹配,则允许流量通过隧道。仅允许符合流量选择器的流量通过 SA。流量选择器在发起方和响应方(SRX 系列集线器)之间进行协商。

示例:通过 AutoVPN 和流量选择器确保 VPN 隧道可用性

地理冗余是指部署多个地理位置相距较远的站点,以便即使发生停电、自然灾害或其他影响站点的灾难性事件,流量也可以继续流经提供商网络。在移动提供商网络中,多个演进节点 B (eNodeB) 设备可以通过 SRX 系列防火墙上的地理冗余 IPsec VPN 网关连接到核心网络。到 eNodeB 设备的备用路由使用动态路由协议分发到核心网络。

此示例在 SRX 系列防火墙上配置具有多个流量选择器的 AutoVPN 中心,以确保 eNodeB 设备存在异地冗余 IPsec VPN 网关。自动路由插入 (ARI) 用于在集线器上的路由表中自动插入指向 eNodeB 设备的路由。然后,ARI 路由通过 BGP 分发到提供商的核心网络。该示例使用基于证书的身份验证。要使用预共享密钥进行身份验证,请设置示例中 所示的类似配置:使用 iBGP 配置基本 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 在机箱群集中连接并配置的两个 SRX 系列防火墙。机箱群集是 AutoVPN 集线器 A。

  • 配置为 AutoVPN 中心 B 的 SRX 系列防火墙。

  • Junos OS 版本 12.3X48-D10 或更高版本。

  • eNodeB 设备,可通过 AutoVPN 集线器建立 IPsec VPN 隧道。eNodeB 设备是使用 AutoVPN 集线器启动 VPN 隧道的第三方网络设备提供商。

  • 在集线器和 eNodeB 设备中注册的数字证书,允许设备相互进行身份验证。

准备工作:

  • 提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(例如质询密码)。请参阅 了解本地证书请求

  • 在每个设备中注册数字证书。请参阅 示例:手动加载 CA 和本地证书。

此示例使用 BGP 动态路由协议将发向 eNodeB 设备的路由播发至核心网络。

概述

在此示例中,两个 AutoVPN 中心在 SRX 系列防火墙上配置了多个流量选择器,以便为 eNodeB 设备提供地理冗余 IPsec VPN 网关。ARI 会自动在集线器上的路由表中插入到 eNodeB 设备的路由。然后,ARI 路由通过 BGP 分发到提供商的核心网络。

在 AutoVPN 集线器和 eNodeB 设备上配置的某些第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。 表 20 显示此示例中使用的值:

表 20: 地理冗余 AutoVPN 集线器的第 1 阶段和第 2 阶段选项

选项

value

IKE 提案:

身份验证方法

rsa-signatures

Diffie-Hellman (DH) 组

group5

身份验证算法

sha-1

加密算法

aes-256-cbc

IKE 策略:

证书

本地证书

IKE 网关:

动态

可分辨名称通配符 DC=Common_component

IKE 用户类型

组 IKE ID

失效对等体检测

探测器-空闲-隧道

本地标识

可分辨名称

版本

仅 v2

IPsec 提议:

协议

esp

身份验证算法

HMAC-SHA1-96

加密算法

aes-256-cbc

IPsec 策略:

完全向前保密 (PFS) 组

组5

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述。为简单起见,SRX 系列防火墙上的配置允许所有类型的入站流量;不建议将此配置用于生产部署。

拓扑学

图 9 显示了要为此示例配置的 SRX 系列防火墙。

图 9: 到 eNodeB 设备的异地冗余 IPsec VPN 网关到 eNodeB 设备的异地冗余 IPsec VPN 网关

配置

配置中心 A

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置中心 A,请执行以下操作:

  1. 配置接口。

  2. 配置第 1 阶段选项。

  3. 配置第 2 阶段选项。

  4. 配置 BGP 路由协议。

  5. 配置路由选项。

  6. 配置证书信息。

  7. 配置安全区域。

结果

在配置模式下,输入 show interfaces show security ikeshow security ipsecshow security pkishow security zonesshow protocols bgpshow policy-optionsshow security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置中心 B

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置中心 B,请执行以下操作:

  1. 配置接口。

  2. 配置第 1 阶段选项。

  3. 配置第 2 阶段选项。

  4. 配置 BGP 路由协议。

  5. 配置路由选项。

  6. 配置证书信息。

  7. 配置安全区域。

结果

在配置模式下,输入 show interfaces show security ikeshow security ipsecshow security zonesshow protocols bgpshow security pki、 和show security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置 eNodeB(示例配置)

分步过程
  1. 本示例中的 eNodeB 配置仅供参考。详细的 eNodeB 配置信息超出了本文档的范围。eNodeB 配置必须包含以下信息:

    • 本地证书 (X.509v3) 和 IKE 身份信息

    • SRX 系列 IKE 身份信息和公有 IP 地址

    • 与 SRX 系列集线器上的配置匹配的第 1 阶段和第 2 阶段提议

结果

此示例中的 eNodeB 设备使用 strongSwan 开源软件进行基于 IPsec 的 VPN 连接:

验证

确认配置工作正常。

验证 AutoVPN 中枢上的隧道

目的

验证是否已在 AutoVPN 集线器和 eNodeB 设备之间建立隧道。

操作

在操作模式下,在中枢上输入 show security ike security-associationsshow security ipsec security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。该 show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。集线器显示两个活动隧道,每个 eNodeB 设备一个。

如果未列出 IKE 第 1 阶段的 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在集线器和 eNodeB 设备上匹配。

如果未列出 IKE 第 2 阶段的 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在集线器和 eNodeB 设备上匹配。

验证流量选择器

目的

验证流量选择器。

操作

在操作模式下,输入 show security ipsec traffic-selector interface-name st0.1 命令。

意义

流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程地址对匹配,则允许流量通过隧道。仅允许符合流量选择器的流量通过 SA。流量选择器在发起方和响应方(SRX 系列集线器)之间进行协商。

验证 ARI 路由

目的

验证 ARI 路由是否已添加到路由表中。

操作

在操作模式下,输入 show route 命令。

意义

自动路由插入 (ARI) 会自动为受远程隧道端点保护的远程网络和主机插入静态路由。将根据流量选择器中配置的远程 IP 地址创建路由。对于流量选择器,配置的远程地址将作为路由插入到与绑定到 VPN 的 st0 接口关联的路由实例中。

到 eNodeB 目的地 10 的静态路由。30.1.0/24 和 10.50.1.0/24 已添加到 SRX 系列集线器上的路由表中。这些路由可通过 st0.1 接口访问。

示例:使用预共享密钥配置 AutoVPN

此示例说明如何配置 VPN 网关用于对远程对等方进行身份验证的不同 IKE 预共享密钥。同样,要配置 VPN 网关用于验证远程对等方的相同 IKE 预共享密钥。

有关 AutoVPN 的端到端配置,请参阅本主题中的其他示例。

要求

此示例使用以下硬件和软件组件:

  • MX240、MX480 和 MX960 以及支持 AutoVPN 的 MX-SPC3 和 Junos OS 21.1R1 版
  • 或与支持 AutoVPN 的 SPC3 和 Junos OS 21.2R1 版SRX5000线路
  • 或运行 iked 进程(带软件包 junos-ike ) 和支持 AutoVPN 的 Junos OS 21.2R1 版的 vSRX 虚拟防火墙

配置不同的 IKE 预共享密钥

要配置 VPN 网关用于验证远程对等方的不同 IKE 预共享密钥,请执行以下操作。

  1. 使用 AutoVPN 中心在设备中配置 IKE 策略的种子预共享。

    (也称为数字签名

    例如:

    (也称为数字签名

  2. 使用网关名称和用户 ID 显示远程对等方的。pre-shared key

    例如:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. 在远程对等设备上的 IKE 策略中配置生成的 PSK(“79e4ea39f5c06834a3c4c031e37c6de24d46798a”在 步骤 2 中)。

    例如:

  4. (可选)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [编辑安全 IKE 网关gateway_name动态] 层次结构级别下配置general-ikeid配置语句。

结果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

配置相同的 IKE 预共享密钥

要配置 VPN 网关用于验证远程对等方的相同 IKE 预共享密钥,请执行以下操作。

  1. 使用 AutoVPN 集线器在设备中配置 IKE 策略的通用 pre-shared-key

    例如:

  2. 为远程对等设备配置 IKE 上的通用 pre-shared-key 策略。

    例如:

  3. (可选)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [编辑安全 IKE 网关gateway_name动态] 层次结构级别下配置general-ikeid配置语句。

结果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

在 P2MP 基础架构上配置组播支持

在本主题中,你将了解如何在 P2MP 基础结构上启用组播支持。

在启用多播支持之前,请确保满足 使用 PIM 的多播支持中列出的注意事项。

请参阅以下部分以配置和验证组播支持。

配置 组播接口

  • 要在 st0.0 接口上启用 PIM,请使用 set protocols pim interface interface-name command

    这里介绍 st0.0 的是安全隧道接口。

  • 要在 st0.0 接口上为 P2MP 模式启用多点,请使用 set interfaces interface-name unit unit-number multipoint 命令:

  • 要设置 st0.0 接口的 IPv4 地址,请使用 set interfaces interface-name unit unit-number family inet address IPv4 address 以下命令:

    此处,192.168.1.3/24 是接口的 IP 地址。

  • 要在 st0.0 接口上禁用 PIM,请使用选项 disable

用于验证组播配置的 CLI 命令

您可以使用以下命令验证组播配置。

  • 若要列出 PIM 接口,请使用 show pim interfaces 命令。

  • 要列出加入多播组的邻居,请使用 show pim join extensive 命令。

  • 要查看 IP 组播转发表中的条目,请使用 show multicast route 命令。

  • 要查看组播下一跃点详细信息,请使用 show multicast next-hops detail 命令。

  • 要查看 IP 组播统计信息,请使用 show multicast statistics 命令。

  • 要查看转发表条目,请使用 show route forwarding-table extensive 命令。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
24.2R1
Junos OS 24.2R1 版中添加了对运行 iked 进程的防火墙的 AutoVPN 组播流量(IPv4 地址)的支持。
17.4R1
从 Junos OS 17.4R1 版开始,AutoVPN 支持 IPv6 地址。
17.4R1
从 Junos OS 17.4R1 版开始,在点对点模式下使用安全隧道接口的 AutoVPN 网络为流量选择器和 IKE 对等方支持 IPv6 地址。
15.1X49-D120
从 Junos OS 版本 15.1X49-D120 开始,您可以在 [edit security ike gateway gateway-name dynamic] 层次结构级别配置 CLI 选项reject-duplicate-connection,以保留现有隧道会话并拒绝具有相同 IKE ID 的新隧道的协商请求。