Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 配置概述

一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。在两个参与设备之间创建 IPsec 隧道以保护 VPN 通信。

具有自动密钥 IKE 配置概述的 IPsec VPN

IPsec VPN 协商分两个阶段进行。在第 1 阶段,参与者建立一个用于协商 IPsec 安全关联 (SA) 的安全通道。在第 2 阶段,参与者协商 IPsec SA,以验证将通过隧道的流量。

本概述介绍使用自动密钥 IKE(预共享密钥或证书)配置基于路由或基于策略的 IPsec VPN 的基本步骤。

要使用自动密钥 IKE 配置基于路由或基于策略的 IPsec VPN,请执行以下操作:

  1. 配置接口、安全区域和地址簿信息。

    (适用于基于路由的 VPN)配置安全隧道 st0.x 接口。在设备上配置路由。

  2. 配置 IPsec VPN 隧道的第 1 阶段。
    1. (可选)配置自定义 IKE 第 1 阶段提议。此步骤是可选的,因为您可以使用预定义的 IKE 第 1 阶段提议集(标准、兼容或基本)。
    2. 配置引用自定义 IKE 第 1 阶段提议或预定义 IKE 第 1 阶段提议集的 IKE 策略。指定自动密钥 IKE 预共享密钥或证书信息。指定第 1 阶段交换的模式(主模式或主动模式)。
    3. 配置引用 IKE 策略的 IKE 网关。指定本地和远程设备的 IKE ID。如果远程网关的 IP 地址未知,请指定如何识别远程网关。
  3. 配置 IPsec VPN 隧道的第 2 阶段。
    1. (可选)配置自定义 IPsec 第 2 阶段提议。此步骤是可选的,因为您可以使用预定义的 IPsec 第 2 阶段提议集(标准、兼容或基本)。
    2. 配置引用自定义 IPsec 第 2 阶段提议或预定义 IPsec 第 2 阶段提议集的 IPsec 策略。指定完全向前保密 (PFS) 密钥。
    3. 配置同时引用 IKE 网关和 IPsec 策略的 IPsec VPN 隧道。指定要在第 2 阶段协商中使用的代理 ID。

      (适用于基于路由的 VPN)将安全隧道接口 st0.x 绑定到 IPsec VPN 隧道。

  4. 配置安全策略以允许从源区域到目标区域的流量。

    (适用于基于策略的 VPN)使用您配置的 IPsec VPN 隧道的名称指定安全策略操作 tunnel ipsec-vpn

  5. 更新您的全局 VPN 设置。

了解具有动态端点的 IPsec VPN

概述

IPsec VPN 对等方可以具有与其建立 VPN 连接的对等方不知道的 IP 地址。例如,对等方可以通过动态主机配置协议 (DHCP) 动态分配 IP 地址。分支机构或家庭办公室中的远程访问客户端或在不同物理位置之间移动的移动设备可能就是这种情况。或者,对等方可以位于将对等方的原始源 IP 地址转换为其他地址的 NAT 设备后面。具有未知 IP 地址的 VPN 对等方称为 动态端点 ,使用动态端点建立的 VPN 称为 动态端点 VPN

在 SRX 系列防火墙上,动态端点 VPN 支持 IKEv1 或 IKEv2。SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv4 流量。从 Junos OS 15.1X49-D80 版开始,SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv6 流量。

AutoVPN 网络不支持 IPv6 流量。

以下部分介绍使用动态终结点配置 VPN 时需要注意的事项。

IKE 身份

在动态端点上,必须为设备配置 IKE 身份,以便向其对等方标识自身。动态端点的本地身份在对等方上进行验证。默认情况下,SRX 系列防火墙要求 IKE 身份为以下身份之一:

  • 使用证书时,可以使用可分辨名称 (DN) 来标识用户或组织。

  • 标识终结点的主机名或完全限定域名 (FQDN)。

  • 用户完全限定域名 (UFQDN),也称为 主机名用户。这是遵循电子邮件地址格式的字符串。

IKEv1 策略的主动模式

将 IKEv1 与动态端点 VPN 一起使用时,必须将 IKE 策略配置为主动模式。

IKE 策略和外部接口

从 Junos OS 版本 12.3X48-D40、Junos OS 版本 15.1X49-D70 和 Junos OS 17.3R1 版本开始,在 SRX 系列防火墙上配置的所有使用相同外部接口的动态端点网关都可以使用不同的 IKE 策略,但 IKE 策略必须使用相同的 IKE 提议。这适用于 IKEv1 和 IKEv2。

NAT

如果动态端点位于 NAT 设备后面,则必须在 SRX 系列防火墙上配置 NAT-T。在 VPN 对等方之间的连接期间,可能需要 NAT 激活来维护 NAT 转换。默认情况下,在 SRX 系列防火墙上启用 NAT-T,并且每隔 20 秒发送一次 NAT 激活。

组和共享 IKE ID

您可以为每个动态端点配置单独的 VPN 隧道。对于 IPv4 动态端点 VPN,您可以使用组 IKE ID 或共享 IKE ID 功能来允许多个动态端点共享 IKE 网关配置。

组 IKE ID 允许您为所有动态端点定义完整 IKE ID 的公共部分,例如“example.net”。特定于用户的部件(如用户名“Bob”)与公共部件连接在一起,形成一个完整的 IKE ID (Bob.example.net),用于唯一标识每个用户连接。

共享 IKE ID 允许动态端点共享单个 IKE ID 和预共享密钥。

了解 IKE 身份配置

IKE 标识 (IKE ID) 用于在 IKE 协商期间验证 VPN 对等设备。SRX 系列防火墙从远程对等方接收的 IKE ID 可以是 IPv4 或 IPv6 地址、主机名、完全限定域名 (FQDN)、用户 FQDN (UFQDN) 或可分辨名称 (DN)。远程对等方发送的 IKE ID 需要与 SRX 系列防火墙的预期匹配。否则,IKE ID 验证将失败,并且不会建立 VPN。

IKE ID 类型

SRX 系列防火墙支持远程对等方的以下类型的 IKE 身份:

  • IPv4 或 IPv6 地址通常用于站点到站点 VPN,其中远程对等方具有静态 IP 地址。

  • 主机名是标识远程对等系统的字符串。这可以是解析为 IP 地址的 FQDN。它也可以是与 IKE 用户类型结合使用以标识特定远程用户的部分 FQDN。

    当配置主机名而不是 IP 地址时,提交的配置和后续隧道建立基于当前解析的 IP 地址。如果远程对等方的 IP 地址发生更改,则配置将不再有效。

  • UFQDN 是遵循与电子邮件地址相同格式的字符串,例如 user@example.com

  • DN 是与数字证书一起使用的名称,用于唯一标识用户。例如,DN 可以是“CN = user, DC=example, DC=com”。或者,您可以使用 container 关键字指定 DN 中字段的顺序及其值与配置的 DN 完全匹配,或使用 wildcard 关键字指定 DN 中字段的值必须匹配,但字段的顺序无关紧要。

    从 Junos OS 19.4R1 版开始,您现在只能在层次结构中 container-stringwildcard-string at 中 [edit security ike gateway gateway_name dynamic distinguished-name] 配置一个动态 DN 属性。如果在配置第一个属性后尝试配置第二个属性,则第一个属性将替换为第二个属性。在升级设备之前,如果已配置其中一个属性,则必须删除这两个属性。

  • 当有多个远程对等方连接到 SRX 系列防火墙上的同一 VPN 网关时,IKE 用户类型可与 AutoVPN 和远程访问 VPN 一起使用。配置为 ike-user-type group-ike-id 指定组 IKE ID 或 ike-user-type shared-ike-id 指定共享 IKE ID。

远程 IKE ID 和站点到站点 VPN

对于站点到站点 VPN,远程对等方的 IKE ID 可以是出口网络接口卡的 IP 地址、环路地址、主机名或手动配置的 IKE ID,具体取决于对等设备的配置。

默认情况下,SRX 系列防火墙希望远程对等方的 IKE ID 是使用该配置配置的 set security ike gateway gateway-name address IP 地址。如果远程对等方的 IKE ID 是不同的值,则需要在 [edit security ike gateway gateway-name] 层次结构级别配置remote-identity语句。

例如,SRX 系列防火墙上的 IKE 网关配置了 set security ike gateway remote-gateway address 203.0.113.1 命令。但是,远程对等方发送的 IKE ID 为 host.example.net。SRX 系列防火墙对远程对等方的 IKE ID (203.0.113.1) 的期望与对等方发送的实际 IKE ID (host.example.net) 不匹配。在这种情况下,IKE ID 验证将失败。使用 匹配 set security ike gateway remote-gateway remote-identity hostname host.example.net 从远程对等方收到的 IKE ID。

远程 IKE ID 和动态端点 VPN

对于动态端点 VPN,远程对等方的预期 IKE ID 使用 [edit security ike gateway gateway-name dynamic] 层次结构级别的选项进行配置。对于 AutoVPN,结合使用ike-user-type group-ike-id可以在hostname有多个具有通用域名的对等方的情况下使用。如果使用证书验证对等方,则可以配置 DN。

SRX 系列防火墙的本地 IKE ID

默认情况下,SRX 系列防火墙使用其与远程对等方的外部接口的 IP 地址作为其 IKE ID。通过在 [edit security ike gateway gateway-name] 层次结构级别配置local-identity语句,可以覆盖此 IKE ID。如果需要在 SRX 系列防火墙上配置 local-identity 语句,请确保配置的 IKE ID 与远程对等方预期的 IKE ID 匹配。

为站点到站点 VPN 配置远程 IKE ID

默认情况下,SRX 系列防火墙使用为 IKE 网关配置的 IP 地址验证从对等方收到的 IKE ID。在某些网络设置中,从对等方收到的 IKE ID(可以是 IPv4 或 IPv6 地址、完全限定域名 [FQDN]、可分辨名称或电子邮件地址)与在 SRX 系列防火墙上配置的 IKE 网关不匹配。这可能会导致第 1 阶段验证失败。

要修改所用 IKE ID 的 SRX 系列防火墙或对等设备的配置:

  • 在 SRX 系列防火墙上,在 [edit security ike gateway gateway-name] 层次结构级别配置remote-identity语句,以匹配从对等方接收的 IKE ID。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。

    如果未配置 remote-identity,则默认情况下,设备将使用与远程对等方对应的 IPv4 或 IPv6 地址。

  • 在对等设备上,确保 IKE ID 与在 SRX 系列防火墙上配置的 remote-identity ID 相同。如果对等设备是 SRX 系列防火墙,请在 [edit security ike gateway gateway-name] 层次结构级别配置local-identity语句。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。

了解 SRX 系列防火墙上的 OSPF 和 OSPFv3 身份验证

OSPFv3 没有内置的身份验证方法,而是依靠 IP 安全 (IPsec) 套件来提供此功能。IPsec 提供源身份验证、数据完整性、机密性、重放保护和源不可否认性。您可以使用 IPsec 保护特定 OSPFv3 接口和虚拟链路,并为 OSPF 数据包提供加密。

OSPFv3 使用 IPsec 协议的 IP 认证标头 (AH) 和 IP 封装安全有效负载 (ESP) 部分来验证对等方之间的路由信息。AH 可以提供无连接的完整性和数据源身份验证。它还提供防止重播的保护。AH 会验证尽可能多的 IP 报头以及上层协议数据。但是,某些 IP 报头字段可能会在传输过程中发生更改。由于发件人可能无法预测这些字段的值,因此 AH 无法保护它们。ESP 可以提供加密和有限流量的机密性或无连接的完整性、数据源身份验证和防重放服务。

IPsec 基于安全关联 (SA)。SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规范。此单工连接为 SA 携带的数据包提供安全服务。这些规范包括建立 IPsec 连接时要使用的身份验证、加密和 IPsec 协议类型的首选项。SA 用于在一个方向上加密和验证特定流。因此,在正常的双向流量中,流由一对 SA 保护。必须手动配置要与 OSPFv3 一起使用的 SA 并使用传输模式。必须在 SA 的两端配置静态值。

要为 OSPF 或 OSPFv3 配置 IPsec,请先使用 [edit security ipsec] 层次结构级别的选项定义security-association sa-name手动 SA。此功能仅支持传输模式下的双向手动密钥 SA。手动 SA 不需要对等方之间进行协商。所有值(包括键)都是静态的,并在配置中指定。手动 SA 静态定义要使用的安全参数索引 (SPI) 值、算法和密钥,并需要在两个终端(OSPF 或 OSPFv3 对等方)上进行匹配的配置。因此,每个对等方必须具有相同的配置选项才能进行通信。

加密和身份验证算法的实际选择留给 IPsec 管理员;但是,我们有以下建议:

  • 使用具有空加密的 ESP 为协议标头提供身份验证,但不为 IPv6 标头、扩展标头和选项提供身份验证。使用 null 加密时,您选择不对协议标头提供加密。这对于故障排除和调试非常有用。有关空加密的详细信息,请参阅 RFC 2410,NULL 加密算法及其与 IPsec 的配合使用

  • 将 ESP 与 DES 或 3DES 结合使用,以确保完全机密。

  • 使用 AH 为协议标头、IPv6 标头中的不可变字段以及扩展标头和选项提供身份验证。

配置的 SA 将应用于 OSPF 或 OSPFv3 配置,如下所示:

  • 对于 OSPF 或 OSPFv3 接口,请在 [edit protocols ospf area area-id interface interface-name] 或 [edit protocols ospf3 area area-id interface interface-name] 层次结构级别包含ipsec-sa name语句。只能为 OSPF 或 OSPFv3 接口指定一个 IPsec SA 名称;但是,不同的 OSPF/OSPFv3 接口可以指定相同的 IPsec SA。

  • 对于 OSPF 或 OSPFv3 虚拟链路,请在 [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] 或 [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 层次结构级别包含ipsec-sa name语句。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。

以下限制适用于 SRX 系列防火墙上 OSPF 或 OSPFv3 的 IPsec 身份验证:

  • 在 [edit security ipsec vpn vpn-name manual] 层级配置的手动 VPN 配置不能应用于 OSPF 或 OSPFv3 接口或虚拟链路,以提供 IPsec 身份验证和机密性。

  • 如果设备上配置了具有相同本地和远程地址的现有 IPsec VPN,则无法为 OSPF 或 OSPFv3 身份验证配置 IPsec。

  • 安全隧道 st0 接口不支持用于 OSPF 或 OSPFv3 身份验证的 IPsec。

  • 不支持手动密钥的重新键入。

  • 不支持动态互联网密钥交换 (IKE) SA。

  • 仅支持 IPsec 传输模式。在传输模式下,仅对 IP 数据包的有效负载(您传输的数据)进行加密和/或身份验证。不支持隧道模式。

  • 由于仅支持双向手动 SA,因此必须为所有 OSPFv3 对等方配置相同的 IPsec SA。您可以在 [edit security ipsec] 层次结构级别配置手动双向 SA。

  • 您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。

示例:为 SRX 系列防火墙上的 OSPF 接口配置 IPsec 身份验证

此示例说明如何配置手动安全关联 (SA) 并将其应用于 OSPF 接口。

要求

准备工作:

  • 配置设备接口。

  • 为 OSPF 网络中的设备配置路由器标识符。

  • 控制 OSPF 指定的路由器选择。

  • 配置单区域 OSPF 网络。

  • 配置多区域 OSPF 网络。

概述

您可以对 OSPF 和 OSPFv3 使用 IPsec 身份验证。您可以单独配置手动 SA,并将其应用于适用的 OSPF 配置。 表 3 列出了此示例中为手动 SA 配置的参数和值。

表 3: 用于 IPsec OSPF 接口身份验证的手动 SA

参数

value

SA 名称

sa1

模式

运输

方向

双向

协议

AH

SPI

256

身份验证算法

图例标示

HMAC-MD5-96

(ASCII) 123456789012abc

加密算法

图例标示

德斯

(ASCII) cba210987654321

配置

配置手动 SA

CLI 快速配置

要在 OSPF 接口上快速配置用于 IPsec 身份验证的手动 SA,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置手动 SA,请执行以下操作:

  1. 指定 SA 的名称。

  2. 指定手动 SA 的模式。

  3. 配置手动 SA 的方向。

  4. 配置要使用的 IPsec 协议。

  5. 配置 SPI 的值。

  6. 配置身份验证算法和密钥。

  7. 配置加密算法和密钥。

结果

输入命令确认 show security ipsec 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

配置密码后,看不到密码本身。输出显示您配置的密码的加密形式。

如果完成设备配置,请从配置模式输入 commit

为 OSPF 接口启用 IPsec 身份验证

CLI 快速配置

要将用于 IPsec 身份验证的手动 SA 快速应用于 OSPF 接口,请复制以下命令,将其粘贴到文本文件中,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit

分步过程

要为 OSPF 接口启用 IPsec 身份验证,请执行以下操作:

  1. 创建 OSPF 区域。

    要指定 OSPFv3,请在层次结构级别包含 ospf3 该语句 [edit protocols]

  2. 指定接口。

  3. 应用 IPsec 手动 SA。

结果

输入命令确认 show ospf interface detail 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

要确认 OSPFv3 配置,请输入 show protocols ospf3 命令。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IPsec 安全关联设置

目的

验证配置的 IPsec 安全关联设置。验证以下信息:

  • 安全关联 字段显示已配置安全关联的名称。

  • SPI 字段显示您配置的值。

  • 模式字段显示传输模式。

  • “类型”字段将“手动”显示为安全关联的类型。

操作

在操作模式下,输入 show ospf interface detail 命令。

验证 OSPF 接口上的 IPsec 安全关联

目的

验证您配置的 IPsec 安全关联是否已应用于 OSPF 接口。确认 IPsec SA 名称字段显示已配置的 IPsec 安全关联的名称。

操作

在操作模式下,输入 show ospf interface detail 适用于 OSPF 的命令,然后输入 show ospf3 interface detail 适用于 OSPFv3 的命令。

使用 VPN 向导配置 IPsec VPN

VPN 向导使您能够执行基本的 IPsec VPN 配置,包括第 1 阶段和第 2 阶段。如需更高级的配置,请使用 J-Web 界面或 CLI。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

要使用 VPN 向导配置 IPsec VPN,请执行以下操作:

  1. 在 J-Web 界面中选择 Configure>Device Setup>VPN
  2. 单击启动 VPN 向导按钮。
  3. 按照向导提示操作。

向导页的左上角区域显示您在配置过程中所处的位置。页面的左下角区域显示与字段相关的帮助。单击“资源”标题下的链接时,文档将在浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而不是浏览器窗口)。

示例:配置中心辐射型 VPN

此示例说明如何为企业级部署配置中心辐射型 IPsec VPN。有关采用 IKEv1 和 IKEv2 的站点到站点 IPSec VPN,请分别参阅 采用 IKEv1 的基于路由的 IPsec VPN 采用 IKEv1 的基于路由的 IPsec VPN

要求

此示例使用以下硬件:

  • SRX240 设备

  • SRX5800设备

  • SSG140 设备

开始之前,请阅读 IPsec 概述

概述

此示例介绍如何配置分支机构部署中常见的中心辐射型 VPN。中心是公司办公室,有两个分支 - 加利福尼亚州森尼维尔的分支机构和马萨诸塞州韦斯特福德的分支机构。分支机构的用户将使用 VPN 与公司办公室安全地传输数据。

图 1 显示了中心辐射型 VPN 拓扑的示例。在此拓扑中,SRX5800设备位于公司办公室。SRX 系列防火墙位于韦斯特福德分公司,SSG140 设备位于森尼维尔分公司。

图 1: 中心辐射型 VPN 拓扑中心辐射型 VPN 拓扑

在此示例中,您将配置公司办公中心、韦斯特福德辐条和森尼维尔辐条。首先,配置接口、IPv4 静态和默认路由、安全区域和地址簿。然后配置 IKE 第 1 阶段和 IPsec 第 2 阶段参数,并将 st0.0 接口绑定到 IPsec VPN。在集线器上,为多点配置 st0.0,并为森尼维尔辐条添加静态 NHTB 表条目。最后,配置安全策略和 TCP-MSS 参数。有关此示例中使用的特定配置参数,请参阅表 4表 8

表 4: 接口、安全区域和地址簿信息

中心或辐射型

功能

名称

配置参数

枢纽

接口

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

辐条

接口

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

枢纽

安全区域

trust

  • 允许所有系统服务。

  • ge-0/0/0.0 接口绑定到此区域。

   

untrust

  • IKE 是唯一允许的系统服务。

  • ge-0/0/3.0 接口绑定到此区域。

   

vpn

st0.0 接口绑定到此区域。

辐条

安全区域

trust

  • 允许所有系统服务。

  • ge-0/0/3.0 接口绑定到此区域。

   

untrust

  • IKE 是唯一允许的系统服务。

  • ge-0/0/0.0 接口绑定到此区域。

   

vpn

st0.0 接口绑定到此区域。

枢纽

通讯簿条目

本地网络

  • 此地址用于信任区域的地址簿。

  • 此通讯簿条目的地址是 192.168.10.0/24。

   

森尼维尔网

  • 此地址簿用于 VPN 区域的地址簿。

  • 此通讯簿条目的地址是 192.168.168.0/24。

   

韦斯特福德网

  • 此地址用于 VPN 区域的地址簿。

  • 此通讯簿条目的地址是 192.168.178.0/24。

辐条

通讯簿条目

本地网络

  • 此地址用于信任区域的地址簿。

  • 此通讯簿条目的地址是 192.168.168.178.0/24。

   

公司网络

  • 此地址用于 VPN 区域的地址簿。

  • 此通讯簿条目的地址是 192.168.10.0/24。

   

森尼维尔网

  • 此地址用于 VPN 区域的地址簿。

  • 此通讯簿条目的地址是 192.168.168.0/24。

表 5: IKE 第 1 阶段配置参数

中心或辐射型

功能

名称

配置参数

枢纽

提议

IKE 第 1 阶段提案

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:group2

  • 身份验证算法:sha1

  • 加密算法:AES-128-CBC

 

策略

IKE-Phase 1-策略

  • 模式:主

  • 提议参考:IKE 第 1 阶段提案

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

 

网关

GW-韦斯特福德

  • IKE 策略参考:IKE-Phase 1-策略

  • 外部接口:ge-0/0/3.0

  • 网关地址:10.3.3.2

   

gw-sunnyvale

  • IKE 策略参考:IKE-Phase 1-策略

  • 外部接口:ge-0/0/3.0

  • 网关地址:10.2.2.2

辐条

提议

IKE 第 1 阶段提案

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:组 2

  • 身份验证算法:SHA1

  • 加密算法:AES-128-CBC

 

策略

IKE-Phase 1-策略

  • 模式:主

  • 提议参考:IKE 第 1 阶段提案

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

 

网关

GW-公司

  • IKE 策略参考:IKE-Phase 1-策略

  • 外部接口:ge-0/0/0.0

  • 网关地址:10.1.1.2

表 6: IPsec 第 2 阶段配置参数

中心或辐射型

功能

名称

配置参数

枢纽

提议

IPSec 第 2 阶段提案

  • 协议:esp

  • 身份验证算法:HMAC-SHA1-96

  • 加密算法:AES-128-CBC

 

策略

ipsec-phase2-policy

  • 提议参考:IPSec 第 2 阶段提案

  • PFS:Diffie-Hellman 组 2

 

VPN

VPN-森尼维尔

  • IKE 网关参考:gw-sunnyvale

  • IPsec 策略参考:ipsec-phase2-policy

  • 绑定到接口:st0.0

   

VPN-韦斯特福德

  • IKE 网关参考:GW-韦斯特福德

  • IPsec 策略参考:ipsec-phase2-policy

  • 绑定到接口:st0.0

辐条

提议

IPSec 第 2 阶段提案

  • 协议:esp

  • 身份验证算法:HMAC-SHA1-96

  • 加密算法:AES-128-CBC

 

策略

ipsec-phase2-policy

  • 提议参考:IPSec 第 2 阶段提案

  • PFS:Diffie-Hellman 组 2

 

VPN

VPN 企业

  • IKE 网关参考:GW-公司

  • IPsec 策略参考:ipsec-phase2-policy

  • 绑定到接口:st0.0

表 7: 安全策略配置参数

中心或辐射型

目的

名称

配置参数

枢纽

安全策略允许从信任区域到 VPN 区域的流量。

本地到分支

  • 匹配标准:

    • 源地址本地网络

    • 目的地地址森尼维尔网

    • 目的地地址韦斯特福德网

    • application any

 

安全策略允许从 VPN 区域到信任区域的流量。

辐射到本地

匹配标准:

  • 源地址森尼维尔网

  • 源地址韦斯特福德网

  • 目标地址本地网

  • application any

 

安全策略允许区域内流量。

分支到分支

匹配标准:

  • 源-地址 任意

  • 目标地址

  • application any

辐条

安全策略允许从信任区域到 VPN 区域的流量。

公司

  • 匹配标准:

    • 源地址本地网络

    • 目的地地址公司网络

    • 目的地地址森尼维尔网

    • application any

 

安全策略允许从 VPN 区域到信任区域的流量。

从公司

匹配标准:

  • 源地址公司网络

  • 源地址森尼维尔网

  • 目标地址本地网

  • application any

 

安全策略允许从不信任区域到信任区域的流量。

允许 - 任何

匹配标准:

  • 源-地址 任意

  • 源-目标 任何

  • application any

  • 允许操作:源-NAT 接口

    通过指定 source-nat interface,SRX 系列防火墙会将出口接口的 IP 地址用作源 IP 地址,并将随机大编号端口用作源端口,从而转换传出流量的源 IP 地址和端口。

表 8: TCP-MSS 配置参数

目的

配置参数

TCC-MSS 作为 TCP 三次握手的一部分进行协商,并限制 TCP 段的最大大小,以更好地适应网络上的 MTU 限制。对于 VPN 流量,IPsec 封装开销以及 IP 和帧开销会导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。分段会导致带宽和设备资源的使用增加。

对于大多数基于以太网且 MTU 为 1500 或更高的网络,建议从 1350 值开始。您可能需要试验不同的 TCP-MSS 值,以获得最佳性能。例如,如果路径中任何设备的 MTU 较低,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。

MSS 值:1350

配置

配置中枢的基本网络、安全区域和通讯簿信息

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为中心配置基本网络、安全区域和通讯簿信息,请执行以下操作:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 配置不信任安全区域。

  4. 为不信任安全区域分配接口。

  5. 为不信任安全区域指定允许的系统服务。

  6. 配置信任安全区域。

  7. 为信任安全区域分配接口。

  8. 为信任安全区域指定允许的系统服务。

  9. 创建通讯簿并向其附加区域。

  10. 配置 VPN 安全区域。

  11. 为 VPN 安全区域分配接口。

  12. 创建另一个通讯簿并向其附加一个区域。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security zonesshow security address-book 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为集线器配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为中心配置 IKE,请执行以下操作:

  1. 创建 IKE 第 1 阶段提议。

  2. 定义 IKE 提议身份验证方法。

  3. 定义 IKE 提议 Diffie-Hellman 组。

  4. 定义 IKE 提议身份验证算法。

  5. 定义 IKE 提议加密算法。

  6. 创建 IKE 第 1 阶段策略。

  7. 设置 IKE 第 1 阶段策略模式。

  8. 指定对 IKE 提议的参考。

  9. 定义 IKE 第 1 阶段策略身份验证方法。

  10. 创建 IKE 第 1 阶段网关并定义其外部接口。

  11. 定义 IKE 第 1 阶段策略参考。

  12. 定义 IKE 第 1 阶段网关地址。

  13. 创建 IKE 第 1 阶段网关并定义其外部接口。

  14. 定义 IKE 第 1 阶段策略参考。

  15. 定义 IKE 第 1 阶段网关地址。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为集线器配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为中心配置 IPsec,请执行以下操作:

  1. 创建 IPsec 第 2 阶段提议。

  2. 指定 IPsec 第 2 阶段提议协议。

  3. 指定 IPsec 第 2 阶段提议身份验证算法。

  4. 指定 IPsec 第 2 阶段提议加密算法。

  5. 创建 IPsec 第 2 阶段策略。

  6. 指定 IPsec 第 2 阶段提议参考。

  7. 指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 2。

  8. 指定 IKE 网关。

  9. 指定 IPsec 第 2 阶段策略。

  10. 指定要绑定的接口。

  11. 将 st0 接口配置为多点接口。

  12. 为森尼维尔和韦斯特福德办公室添加静态 NHTB 表条目。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为中枢配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为中枢配置安全策略,请执行以下操作:

  1. 创建安全策略以允许从信任区域到 VPN 区域的流量。

  2. 创建安全策略以允许从 VPN 区域到信任区域的流量。

  3. 创建安全策略以允许区域内流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为集线器配置 TCP-MSS

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

要为集线器配置 TCP-MSS 信息,请执行以下操作:

  1. 配置 TCP-MSS 信息。

结果

在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 Westford 分支配置基本网络、安全区域和通讯簿信息

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为 Westford 辐射配置基本网络、安全区域和通讯簿信息,请执行以下操作:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 配置不信任安全区域。

  4. 为安全区域分配接口。

  5. 为不信任安全区域指定允许的系统服务。

  6. 配置信任安全区域。

  7. 为信任安全区域分配接口。

  8. 为信任安全区域指定允许的系统服务。

  9. 配置 VPN 安全区域。

  10. 为 VPN 安全区域分配接口。

  11. 创建通讯簿并向其附加区域。

  12. 创建另一个通讯簿并向其附加一个区域。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security zonesshow security address-book 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 Westford 分支配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为 Westford 辐射配置 IKE,请执行以下操作:

  1. 创建 IKE 第 1 阶段提议。

  2. 定义 IKE 提议身份验证方法。

  3. 定义 IKE 提议 Diffie-Hellman 组。

  4. 定义 IKE 提议身份验证算法。

  5. 定义 IKE 提议加密算法。

  6. 创建 IKE 第 1 阶段策略。

  7. 设置 IKE 第 1 阶段策略模式。

  8. 指定对 IKE 提议的参考。

  9. 定义 IKE 第 1 阶段策略身份验证方法。

  10. 创建 IKE 第 1 阶段网关并定义其外部接口。

  11. 定义 IKE 第 1 阶段策略参考。

  12. 定义 IKE 第 1 阶段网关地址。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 Westford 分支配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为 Westford 辐射配置 IPsec,请执行以下操作:

  1. 创建 IPsec 第 2 阶段提议。

  2. 指定 IPsec 第 2 阶段提议协议。

  3. 指定 IPsec 第 2 阶段提议身份验证算法。

  4. 指定 IPsec 第 2 阶段提议加密算法。

  5. 创建 IPsec 第 2 阶段策略。

  6. 指定 IPsec 第 2 阶段提议参考。

  7. 指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 2。

  8. 指定 IKE 网关。

  9. 指定 IPsec 第 2 阶段策略。

  10. 指定要绑定的接口。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为韦斯特福德辐条配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为韦斯特福德辐条配置安全策略,请执行以下操作:

  1. 创建安全策略以允许从信任区域到 VPN 区域的流量。

  2. 创建安全策略以允许从 VPN 区域到信任区域的流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 Westford 分支配置 TCP-MSS

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

要为 Westford 辐射配置 TCP-MSS,请执行以下操作:

  1. 配置 TCP-MSS 信息。

结果

在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置森尼维尔辐条

CLI 快速配置

此示例将 SSG 系列设备用于森尼维尔辐条。为了参考,提供了 SSG 系列设备的配置。有关配置 SSG 系列设备的信息,请参见 Concepts and Examples ScreenOS Reference Guide位于 https://www.juniper.net/documentation 的 。

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在开始验证过程之前,您需要将流量从 192.168.10/24 网络中的主机发送到 192.168.168/24 和 192.168.178/24 网络中的主机以启动隧道。对于基于路由的 VPN,您可以通过隧道发送从 SRX 系列防火墙发起的流量。建议在测试 IPsec 隧道时,将测试流量从 VPN 一端的单独设备发送到 VPN 另一端的另一台设备。例如,发起从 192.168.10.10 到 192.168.168.10 的 ping。

在操作模式下,输入 show security ike security-associations 命令。从命令获取索引号之后,请使用 show security ike security-associations index index_number detail 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations index detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 - 验证远程 IP 地址是否正确。

  • State

    • UP—已建立第 1 阶段 SA。

    • DOWN — 建立第 1 阶段 SA 时出现问题。

  • 模式 - 验证是否使用了正确的模式。

验证配置中的以下信息是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations index 1 detail 命令会列出有关索引号为 1 的安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 发起方和响应方角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号之后,请使用 show security ipsec security-associations index index_number detail 命令。

意义

show security ipsec security-associations 命令输出列出以下信息:

  • ID 号为 16385。将此值用于 show security ipsec security-associations index 命令,可获取有关此特定 SA 的更多信息。

  • 有一个 IPsec SA 对使用端口 500,表示未实施任何 NAT 遍历。(NAT 遍历使用端口 4500 或其他随机大编号端口。)

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。28756/unlim 值表示第 2 阶段生存期将在 28756 秒后过期,并且未指定生存大小,表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

show security ipsec security-associations index 16385 detail 命令输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。

验证下一跃点隧道绑定

目的

完成所有对等方的第 2 阶段后,验证下一跃点隧道绑定。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels 命令。

意义

下一跃点网关是所有远程分支对等方的 st0 接口的 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。如果不存在 NHTB 条目,则集线器设备无法区分哪个 IPsec VPN 与哪个下一跃点相关联。

“标志”字段具有以下值之一:

  • 静态— — NHTB 是在 st0.0 接口配置中手动配置的,如果对等方不是 SRX 系列防火墙,则需要配置此项配置。

  • 自动 — 未配置 NHTB,但在两个 SRX 系列防火墙之间的第 2 阶段协商期间,该条目会自动填充到 NHTB 表中

在此示例中,没有任何分支站点的 NHTB 表。从分支的角度来看,st0 接口仍然是只有一个 IPsec VPN 绑定的点对点链路。

验证远程对等本地 LAN 的静态路由

目的

验证静态路由是否引用分支对等方的 st0 IP 地址。

操作

在操作模式下,输入 show route 命令。

下一跃点是远程对等方的 st0 IP 地址,两个路由都指向 st0.0 作为传出接口。

查看 IPsec 安全关联的统计信息和错误

目的

查看 IPsec 安全关联的 ESP 和身份验证标头计数器和错误。

操作

在操作模式下,输入 show security ipsec statistics index 命令。

也可以使用 show security ipsec statistics 命令来查看所有 SA 的统计信息和错误。

要清除所有 IPsec 统计信息,请使用 clear security ipsec statistics 命令。

意义

如果看到 VPN 中有数据包丢失的问题,可以多次运行 show security ipsec statisticsshow security ipsec statistics detail 命令以确认加密和解密数据包计数器是否在递增。还应检查其他错误计数器是否也在递增。

测试通过 VPN 的流量

目的

验证通过 VPN 的流量。

操作

您可以使用 SRX 系列防火墙中的命令测试 ping 流向远程主机 PC 的流量。请确保指定源接口,以便路由查找是正确的,并且在策略查找过程中引用相应的安全区域。

在操作模式下,输入 ping 命令。

也可以从 SSG 系列设备使用 ping 命令。

意义

如果 ping 命令在 SRX 系列或 SSG 系列设备上不起作用,则可能是路由、安全策略、终端主机或 ESP 数据包的加密和解密存在问题。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
19.4R1
从 Junos OS 19.4R1 版开始,您现在只能在层次结构中 container-stringwildcard-string at 中 [edit security ike gateway gateway_name dynamic distinguished-name] 配置一个动态 DN 属性。如果在配置第一个属性后尝试配置第二个属性,则第一个属性将替换为第二个属性。在升级设备之前,如果已配置其中一个属性,则必须删除这两个属性。
15.1X49-D80
从 Junos OS 15.1X49-D80 版开始,SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv6 流量。
12.3X48-D40
从 Junos OS 版本 12.3X48-D40、Junos OS 版本 15.1X49-D70 和 Junos OS 17.3R1 版本开始,在 SRX 系列防火墙上配置的所有使用相同外部接口的动态端点网关都可以使用不同的 IKE 策略,但 IKE 策略必须使用相同的 IKE 提议。