Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

外部接口上的双栈隧道

基于路由的站点到站点 VPN 支持双堆栈隧道,即通过单个物理接口到对等方的并行 IPv4 和 IPv6 隧道。配置了 IPv4 和 IPv6 地址的物理接口可用作同一对等方或同时不同对等方上 IPv4 和 IPv6 网关的外部接口。

了解 VPN 隧道模式

在 VPN 隧道模式下,IPsec 将原始 IP 数据报(包括原始 IP 报头)封装在第二个 IP 数据报中。外部 IP 标头包含网关的 IP 地址,而内部标头包含最终源和目标 IP 地址。外部和内部 IP 报头的协议字段可以是 IPv4 或 IPv6。SRX 系列防火墙支持基于路由的站点到站点 VPN 的四种隧道模式。

IPv4-in-IPv4 隧道将 IPv4 数据包封装在 IPv4 数据包内,如 图 1所示。外部标头和内部标头的协议字段均为 IPv4。

图 1: IPv4-in-IPv4 隧道IPv4-in-IPv4 隧道

IPv6-in-IPv6 隧道将 IPv6 数据包封装在 IPv6 数据包内,如 图 2所示。外部和内部标头的协议字段均为 IPv6。

图 2: IPv6-in-IPv6 隧道IPv6-in-IPv6 隧道

IPv6-in-IPv4 隧道将 IPv6 数据包封装在 IPv4 数据包内,如 图 3所示。外部标头的协议字段为 IPv4,内部标头的协议字段为 IPv6。

图 3: IPv6-in-IPv4 隧道IPv6-in-IPv4 隧道

IPv4-in-IPv6 隧道将 IPv4 数据包封装在 IPv6 数据包内,如 图 4所示。外部标头的协议字段为 IPv6,内部标头的协议字段为 IPv4。

图 4: IPv4-in-IPv6 隧道IPv4-in-IPv6 隧道

单个 IPsec VPN 隧道可以同时传输 IPv4 和 IPv6 流量。例如,IPv4 隧道可以同时在 IPv4 in-IPv4 和 IPv6-in-IPv4 隧道模式下运行。要允许通过单个 IPsec VPN 隧道的 IPv4 和 IPv6 流量,绑定到该隧道的 st0 接口必须同时 family inet 配置和 family inet6

配置了 IPv4 和 IPv6 地址的物理接口可用作在基于路由的站点到站点 VPN 中与对等方建立并行 IPv4 和 IPv6 隧道的外部接口。此功能称为 双堆栈隧道 ,每个隧道都需要单独的 st0 接口。

对于基于策略的 VPN,IPv6-in-IPv6 是唯一受支持的隧道模式,并且仅在 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上受支持。

了解通过外部接口建立的双栈隧道

基于路由的站点到站点 VPN 支持双堆栈隧道,即通过单个物理接口到对等方的并行 IPv4 和 IPv6 隧道。配置了 IPv4 和 IPv6 地址的物理接口可用作同一对等方或不同对等方上 IPv4 和 IPv6 网关的外部接口。在 中 图 5,物理接口 reth0.0 和 ge-0/0/0.1 支持两个设备之间的并行 IPv4 和 IPv6 隧道。

图 5: 双栈隧道双栈隧道

在 中 图 5,必须为每个 IPsec VPN 隧道配置单独的安全隧道 (st0) 接口。不支持绑定到同一 st0 接口的并行 IPv4 和 IPv6 隧道。

单个 IPsec VPN 隧道可以同时传输 IPv4 和 IPv6 流量。例如,IPv4 隧道可以同时在 IPv4 in-IPv4 和 IPv6-in-IPv4 隧道模式下运行。要允许通过单个 IPsec VPN 隧道的 IPv4 和 IPv6 流量,绑定到该隧道的 st0 接口必须同时 family inet 配置和 family inet6

如果在 VPN 对等方的同一外部接口上配置了同一地址族中的多个地址,我们建议您在 [edit security ike gateway gateway-name] 层次结构级别进行配置local-address

如果配置了,则 local-address 指定的 IPv4 或 IPv6 地址将用作本地网关地址。如果在物理外部接口上仅配置了一个 IPv4 和一个 IPv6 地址, local-address 则不需要配置。

local-address 值必须是在 SRX 系列防火墙上的接口上配置的 IP 地址。我们建议属于 local-address IKE 网关的外部接口。如果不属于 IKE 网关的外部接口,则该 local-address 接口必须与 IKE 网关的外部接口位于同一区域中,并且必须将区域内安全策略配置为允许流量。

local-address 值和远程 IKE 网关地址必须位于同一地址族中,即 IPv4 或 IPv6。

如果未配置,则 local-address 本地网关地址基于远程网关地址。如果远程网关地址是 IPv4 地址,则本地网关地址是外部物理接口的主 IPv4 地址。如果远程网关地址是 IPv6 地址,则本地网关地址是外部物理接口的主 IPv6 地址。

另请参阅

示例:通过外部接口配置双堆栈隧道

此示例说明如何为基于路由的站点到站点 VPN 配置通过单个外部物理接口到对等方的并行 IPv4 和 IPv6 隧道。

要求

开始之前,请阅读 了解 VPN 隧道模式

此示例中显示的配置仅支持基于路由的站点到站点 VPN。

概述

在此示例中,本地设备上的冗余以太网接口支持与对等设备的并行 IPv4 和 IPv6 隧道:

  • IPv4 隧道承载 IPv6 流量;它在 IPv6-in-IPv4 隧道模式下运行。绑定到 IPv4 隧道的安全隧道接口 st0.0 仅配置了系列 inet6。

  • IPv6 隧道同时承载 IPv4 和 IPv6 流量;它可以在 IPv4-in-IPv6 和 IPv6-in-IPv6 隧道模式下运行。绑定到 IPv6 隧道的安全隧道接口 st0.1 配置了族 inet 和族 inet6。

表 1 显示了此示例中使用的第 1 阶段选项。第 1 阶段选项配置包括两个 IKE 网关配置,一个用于 IPv6 对等方,另一个用于 IPv4 对等方。

表 1: 双堆栈隧道配置的第 1 阶段选项

选项

value

IKE 提案

ike_proposal

身份验证方法

预共享密钥

身份验证算法

MD5

加密算法

3DES 全血细胞计数

辈子

3600 秒

IKE 策略

ike_policy

模式

积极

IKE 提案

ike_proposal

预共享密钥

ASCII 文本

IPv6 IKE 网关

ike_gw_v6

IKE 策略

ike_policy

网关地址

2000::2

外部接口

reth1.0

IKE 版本

IKEv2

IPv4 IKE 网关

ike_gw_v4

IKE 策略

ike_policy

网关地址

20.0.0.2

外部接口

RETH1.0

表 2 显示了此示例中使用的第 2 阶段选项。第 2 阶段选项配置包括两个 VPN 配置,一个用于 IPv6 隧道,另一个用于 IPv4 隧道。

表 2: 双堆栈隧道配置的第 2 阶段选项

选项

value

IPsec 提议

ipsec_proposal

协议

ESP

身份验证算法

HMAC SHA-1 96

加密算法

3DES 全血细胞计数

IPsec 策略

ipsec_policy

提议

ipsec_proposal

IPv6 VPN

test_s2s_v6

绑定接口

st0.1

IKE 网关

ike_gw_v6

IKE IPsec 策略

ipsec_policy

建立隧道

马上

IPv4 VPN

test_s2s_v4

绑定接口

st0.0

IKE 网关

ike_gw_4

IKE IPsec 策略

ipsec_policy

IPv6 路由表中配置了以下静态路由:

  • 通过 st0.0 将 IPv6 流量路由到 3000::1/128。

  • 通过 st0.1 将 IPv6 流量路由到 3000::2/128。

默认 (IPv4) 路由表中配置了静态路由,用于通过 st0.1 将 IPv4 流量路由到 30.0.0.0/24。

必须在 [edit security forwarding-options family inet6] 层级使用配置选项启用mode flow-based基于流的 IPv6 流量处理。

拓扑学

在 中 图 6,SRX 系列防火墙 A 支持与设备 B 建立 IPv4 和 IPv6 隧道。发往 3000::1/128 的 IPv6 流量通过 IPv4 隧道路由,而发往 3000::2/128 的 IPv6 流量和发往 30.0.0.0/24 的 IPv4 流量通过 IPv6 隧道进行路由。

图 6: 双栈隧道示例双栈隧道示例

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置双堆栈隧道:

  1. 配置外部接口。

  2. 配置安全隧道接口。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置静态路由。

  6. 启用基于 IPv6 流的转发。

结果

在配置模式下,输入 show interfacesshow security ikeshow routing-optionsshow security ipsecshow security forwarding-options命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。对等设备上的第 1 阶段提议参数必须匹配。

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。

意义

show security ipsec security-associations 命令将列出所有活动的 IKE 第 2 阶段 SA。如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在对等设备上匹配。

验证路由

目的

验证活动路由。

操作

在操作模式下,输入 show route 命令。

意义

该命令会 show route 列出路由表中的活动条目。

相关主题