IPsec VPN 配置概述
一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。在两个参与设备之间创建 IPsec 隧道以保护 VPN 通信。
具有自动密钥 IKE 配置概述的 IPsec VPN
IPsec VPN 协商分两个阶段进行。在第 1 阶段,参与者建立一个用于协商 IPsec 安全关联 (SA) 的安全通道。在第 2 阶段,参与者协商 IPsec SA,以验证将通过隧道的流量。
本概述介绍使用自动密钥 IKE(预共享密钥或证书)配置基于路由或基于策略的 IPsec VPN 的基本步骤。
要使用自动密钥 IKE 配置基于路由或基于策略的 IPsec VPN,请执行以下操作:
另请参阅
具有静态 IP 地址的站点到站点 VPN 的推荐配置选项
表 1 列出了两个具有静态 IP 地址的安全设备之间的通用站点到站点 VPN 的配置选项。VPN 可以基于路由,也可以基于策略。
配置选项 |
评论 |
|---|---|
IKE 配置选项: |
|
主模式 |
当对等方具有静态 IP 地址时使用。 |
RSA 或 DSA 证书 |
可以在本地设备上使用 RSA 或 DSA 证书。指定对等方上的证书类型(PKCS7 或 X.509)。 |
Diffie-Hellman (DH) 组 14 |
与 DH 组 1、2 或 5 相比,DH 组 14 提供更高的安全性。 |
高级加密标准 (AES) 加密 |
当密钥长度相等时,AES 在加密上比数据加密标准 (DES) 和三重 DES (3DES) 更强。经批准的联邦信息处理标准 (FIPS) 和通用标准 EAL4 标准的加密算法。 |
安全散列算法 256 (SHA-256) 身份验证 |
SHA-256 提供比 SHA-1 或消息摘要 5 (MD5) 更多的加密安全性。 |
IPsec 配置选项: |
|
完全向前保密 (PFS) DH 组 14 |
PFS DH 组 14 提供更高的安全性,因为对等方执行第二次 DH 交换以生成用于 IPsec 加密和解密的密钥。 |
封装安全有效负载 (ESP) 协议 |
ESP 通过加密和封装原始 IP 数据包提供机密性,并通过身份验证提供完整性。 |
AES 加密 |
当密钥长度相等时,AES 在加密上比 DES 和 3DES 更强大。FIPS 和通用标准 EAL4 标准的已批准加密算法。 |
SHA-256 认证 |
SHA-256 提供比 SHA-1 或 MD5 更高的加密安全性。 |
防重放保护 |
默认启用。禁用此功能可能会解决与第三方对等方的兼容性问题。 |
另请参阅
具有动态 IP 地址的站点到站点或拨号 VPN 的推荐配置选项
表 2 列出了通用站点到站点或拨号 VPN 的配置选项,其中对等设备具有动态 IP 地址。
配置选项 |
评论 |
|---|---|
IKE 配置选项: |
|
主模式 |
与证书一起使用。 |
2048 位证书 |
可以使用 RSA 或 DSA 证书。指定要在本地设备上使用的证书。指定对等方上的证书类型(PKCS7 或 X.509)。 |
Diffie-Hellman (DH) 组 14 |
与 DH 组 1、2 或 5 相比,DH 组 14 提供更高的安全性。 |
高级加密标准 (AES) 加密 |
当密钥长度相等时,AES 在加密上比数据加密标准 (DES) 和三重 DES (3DES) 更强。经批准的联邦信息处理标准 (FIPS) 和通用标准 EAL4 标准的加密算法。 |
安全散列算法 256 (SHA-256) 身份验证 |
SHA-256 提供比 SHA-1 或消息摘要 5 (MD5) 更高的加密安全性。 |
IPsec 配置选项: |
|
完全向前保密 (PFS) DH 组 14 |
PFS DH 组 14 提供更高的安全性,因为对等方执行第二次 DH 交换以生成用于 IPsec 加密和解密的密钥。 |
封装安全有效负载 (ESP) 协议 |
ESP 通过加密和封装原始 IP 数据包提供机密性,并通过身份验证提供完整性。 |
AES 加密 |
当密钥长度相等时,AES 在加密上比 DES 和 3DES 更强大。FIPS 和通用标准 EAL4 标准的已批准加密算法。 |
SHA-256 认证 |
SHA-256 提供比 SHA-1 或 MD5 更高的加密安全性。 |
防重放保护 |
默认启用。禁用此功能可能会解决与第三方对等方的兼容性问题。 |
另请参阅
了解具有动态端点的 IPsec VPN
概述
IPsec VPN 对等方可以具有与其建立 VPN 连接的对等方不知道的 IP 地址。例如,对等方可以通过动态主机配置协议 (DHCP) 动态分配 IP 地址。分支机构或家庭办公室中的远程访问客户端或在不同物理位置之间移动的移动设备可能就是这种情况。或者,对等方可以位于将对等方的原始源 IP 地址转换为其他地址的 NAT 设备后面。具有未知 IP 地址的 VPN 对等方称为 动态端点 ,使用动态端点建立的 VPN 称为 动态端点 VPN。
在 SRX 系列防火墙上,动态端点 VPN 支持 IKEv1 或 IKEv2。SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv4 流量。从 Junos OS 15.1X49-D80 版开始,SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv6 流量。
AutoVPN 网络不支持 IPv6 流量。
以下部分介绍使用动态终结点配置 VPN 时需要注意的事项。
IKE 身份
在动态端点上,必须为设备配置 IKE 身份,以便向其对等方标识自身。动态端点的本地身份在对等方上进行验证。默认情况下,SRX 系列防火墙要求 IKE 身份为以下身份之一:
使用证书时,可以使用可分辨名称 (DN) 来标识用户或组织。
标识终结点的主机名或完全限定域名 (FQDN)。
用户完全限定域名 (UFQDN),也称为 主机名用户。这是遵循电子邮件地址格式的字符串。
IKEv1 策略的主动模式
将 IKEv1 与动态端点 VPN 一起使用时,必须将 IKE 策略配置为主动模式。
IKE 策略和外部接口
从 Junos OS 版本 12.3X48-D40、Junos OS 版本 15.1X49-D70 和 Junos OS 17.3R1 版本开始,在 SRX 系列防火墙上配置的所有使用相同外部接口的动态端点网关都可以使用不同的 IKE 策略,但 IKE 策略必须使用相同的 IKE 提议。这适用于 IKEv1 和 IKEv2。
NAT
如果动态端点位于 NAT 设备后面,则必须在 SRX 系列防火墙上配置 NAT-T。在 VPN 对等方之间的连接期间,可能需要 NAT 激活来维护 NAT 转换。默认情况下,在 SRX 系列防火墙上启用 NAT-T,并且每隔 20 秒发送一次 NAT 激活。
组和共享 IKE ID
您可以为每个动态端点配置单独的 VPN 隧道。对于 IPv4 动态端点 VPN,您可以使用组 IKE ID 或共享 IKE ID 功能来允许多个动态端点共享 IKE 网关配置。
组 IKE ID 允许您为所有动态端点定义完整 IKE ID 的公共部分,例如“example.net”。特定于用户的部件(如用户名“Bob”)与公共部件连接在一起,形成一个完整的 IKE ID (Bob.example.net),用于唯一标识每个用户连接。
共享 IKE ID 允许动态端点共享单个 IKE ID 和预共享密钥。
另请参阅
了解 IKE 身份配置
IKE 标识 (IKE ID) 用于在 IKE 协商期间验证 VPN 对等设备。SRX 系列防火墙从远程对等方接收的 IKE ID 可以是 IPv4 或 IPv6 地址、主机名、完全限定域名 (FQDN)、用户 FQDN (UFQDN) 或可分辨名称 (DN)。远程对等方发送的 IKE ID 需要与 SRX 系列防火墙的预期匹配。否则,IKE ID 验证将失败,并且不会建立 VPN。
IKE ID 类型
SRX 系列防火墙支持远程对等方的以下类型的 IKE 身份:
IPv4 或 IPv6 地址通常用于站点到站点 VPN,其中远程对等方具有静态 IP 地址。
主机名是标识远程对等系统的字符串。这可以是解析为 IP 地址的 FQDN。它也可以是与 IKE 用户类型结合使用以标识特定远程用户的部分 FQDN。
当配置主机名而不是 IP 地址时,提交的配置和后续隧道建立基于当前解析的 IP 地址。如果远程对等方的 IP 地址发生更改,则配置将不再有效。
UFQDN 是遵循与电子邮件地址相同格式的字符串,例如
user@example.com。DN 是与数字证书一起使用的名称,用于唯一标识用户。例如,DN 可以是“CN = user, DC=example, DC=com”。或者,您可以使用
container关键字指定 DN 中字段的顺序及其值与配置的 DN 完全匹配,或使用wildcard关键字指定 DN 中字段的值必须匹配,但字段的顺序无关紧要。从 Junos OS 19.4R1 版开始,您现在只能在层次结构中
container-string和wildcard-stringat 中[edit security ike gateway gateway_name dynamic distinguished-name]配置一个动态 DN 属性。如果在配置第一个属性后尝试配置第二个属性,则第一个属性将替换为第二个属性。在升级设备之前,如果已配置其中一个属性,则必须删除这两个属性。当有多个远程对等方连接到 SRX 系列防火墙上的同一 VPN 网关时,IKE 用户类型可与 AutoVPN 和远程访问 VPN 一起使用。配置为
ike-user-type group-ike-id指定组 IKE ID 或ike-user-type shared-ike-id指定共享 IKE ID。
远程 IKE ID 和站点到站点 VPN
对于站点到站点 VPN,远程对等方的 IKE ID 可以是出口网络接口卡的 IP 地址、环路地址、主机名或手动配置的 IKE ID,具体取决于对等设备的配置。
默认情况下,SRX 系列防火墙希望远程对等方的 IKE ID 是使用该配置配置的 set security ike gateway gateway-name address IP 地址。如果远程对等方的 IKE ID 是不同的值,则需要在 [edit security ike gateway gateway-name] 层次结构级别配置remote-identity语句。
例如,SRX 系列防火墙上的 IKE 网关配置了 set security ike gateway remote-gateway address 203.0.113.1 命令。但是,远程对等方发送的 IKE ID 为 host.example.net。SRX 系列防火墙对远程对等方的 IKE ID (203.0.113.1) 的期望与对等方发送的实际 IKE ID (host.example.net) 不匹配。在这种情况下,IKE ID 验证将失败。使用 匹配 set security ike gateway remote-gateway remote-identity hostname host.example.net 从远程对等方收到的 IKE ID。
远程 IKE ID 和动态端点 VPN
对于动态端点 VPN,远程对等方的预期 IKE ID 使用 [edit security ike gateway gateway-name dynamic] 层次结构级别的选项进行配置。对于 AutoVPN,结合使用ike-user-type group-ike-id可以在hostname有多个具有通用域名的对等方的情况下使用。如果使用证书验证对等方,则可以配置 DN。
SRX 系列防火墙的本地 IKE ID
默认情况下,SRX 系列防火墙使用其与远程对等方的外部接口的 IP 地址作为其 IKE ID。通过在 [edit security ike gateway gateway-name] 层次结构级别配置local-identity语句,可以覆盖此 IKE ID。如果需要在 SRX 系列防火墙上配置 local-identity 语句,请确保配置的 IKE ID 与远程对等方预期的 IKE ID 匹配。
另请参阅
为站点到站点 VPN 配置远程 IKE ID
默认情况下,SRX 系列防火墙使用为 IKE 网关配置的 IP 地址验证从对等方收到的 IKE ID。在某些网络设置中,从对等方收到的 IKE ID(可以是 IPv4 或 IPv6 地址、完全限定域名 [FQDN]、可分辨名称或电子邮件地址)与在 SRX 系列防火墙上配置的 IKE 网关不匹配。这可能会导致第 1 阶段验证失败。
要修改所用 IKE ID 的 SRX 系列防火墙或对等设备的配置:
在 SRX 系列防火墙上,在 [
edit security ike gateway gateway-name] 层次结构级别配置remote-identity语句,以匹配从对等方接收的 IKE ID。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。如果未配置
remote-identity,则默认情况下,设备将使用与远程对等方对应的 IPv4 或 IPv6 地址。在对等设备上,确保 IKE ID 与在 SRX 系列防火墙上配置的
remote-identityID 相同。如果对等设备是 SRX 系列防火墙,请在 [edit security ike gateway gateway-name] 层次结构级别配置local-identity语句。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。
另请参阅
了解 SRX 系列防火墙上的 OSPF 和 OSPFv3 身份验证
OSPFv3 没有内置的身份验证方法,而是依靠 IP 安全 (IPsec) 套件来提供此功能。IPsec 提供源身份验证、数据完整性、机密性、重放保护和源不可否认性。您可以使用 IPsec 保护特定 OSPFv3 接口和虚拟链路,并为 OSPF 数据包提供加密。
OSPFv3 使用 IPsec 协议的 IP 认证标头 (AH) 和 IP 封装安全有效负载 (ESP) 部分来验证对等方之间的路由信息。AH 可以提供无连接的完整性和数据源身份验证。它还提供防止重播的保护。AH 会验证尽可能多的 IP 报头以及上层协议数据。但是,某些 IP 报头字段可能会在传输过程中发生更改。由于发件人可能无法预测这些字段的值,因此 AH 无法保护它们。ESP 可以提供加密和有限流量的机密性或无连接的完整性、数据源身份验证和防重放服务。
IPsec 基于安全关联 (SA)。SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规范。此单工连接为 SA 携带的数据包提供安全服务。这些规范包括建立 IPsec 连接时要使用的身份验证、加密和 IPsec 协议类型的首选项。SA 用于在一个方向上加密和验证特定流。因此,在正常的双向流量中,流由一对 SA 保护。必须手动配置要与 OSPFv3 一起使用的 SA 并使用传输模式。必须在 SA 的两端配置静态值。
要为 OSPF 或 OSPFv3 配置 IPsec,请先使用 [edit security ipsec] 层次结构级别的选项定义security-association sa-name手动 SA。此功能仅支持传输模式下的双向手动密钥 SA。手动 SA 不需要对等方之间进行协商。所有值(包括键)都是静态的,并在配置中指定。手动 SA 静态定义要使用的安全参数索引 (SPI) 值、算法和密钥,并需要在两个终端(OSPF 或 OSPFv3 对等方)上进行匹配的配置。因此,每个对等方必须具有相同的配置选项才能进行通信。
加密和身份验证算法的实际选择留给 IPsec 管理员;但是,我们有以下建议:
使用具有空加密的 ESP 为协议标头提供身份验证,但不为 IPv6 标头、扩展标头和选项提供身份验证。使用 null 加密时,您选择不对协议标头提供加密。这对于故障排除和调试非常有用。有关空加密的详细信息,请参阅 RFC 2410,NULL 加密算法及其与 IPsec 的配合使用。
将 ESP 与 DES 或 3DES 结合使用,以确保完全机密。
使用 AH 为协议标头、IPv6 标头中的不可变字段以及扩展标头和选项提供身份验证。
配置的 SA 将应用于 OSPF 或 OSPFv3 配置,如下所示:
对于 OSPF 或 OSPFv3 接口,请在 [
edit protocols ospf area area-id interface interface-name] 或 [edit protocols ospf3 area area-id interface interface-name] 层次结构级别包含ipsec-sa name语句。只能为 OSPF 或 OSPFv3 接口指定一个 IPsec SA 名称;但是,不同的 OSPF/OSPFv3 接口可以指定相同的 IPsec SA。对于 OSPF 或 OSPFv3 虚拟链路,请在 [
edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] 或 [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 层次结构级别包含ipsec-sa name语句。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。
以下限制适用于 SRX 系列防火墙上 OSPF 或 OSPFv3 的 IPsec 身份验证:
在 [
edit security ipsec vpn vpn-name manual] 层级配置的手动 VPN 配置不能应用于 OSPF 或 OSPFv3 接口或虚拟链路,以提供 IPsec 身份验证和机密性。如果设备上配置了具有相同本地和远程地址的现有 IPsec VPN,则无法为 OSPF 或 OSPFv3 身份验证配置 IPsec。
安全隧道 st0 接口不支持用于 OSPF 或 OSPFv3 身份验证的 IPsec。
不支持手动密钥的重新键入。
不支持动态互联网密钥交换 (IKE) SA。
仅支持 IPsec 传输模式。在传输模式下,仅对 IP 数据包的有效负载(您传输的数据)进行加密和/或身份验证。不支持隧道模式。
由于仅支持双向手动 SA,因此必须为所有 OSPFv3 对等方配置相同的 IPsec SA。您可以在 [
edit security ipsec] 层次结构级别配置手动双向 SA。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。
另请参阅
示例:为 SRX 系列防火墙上的 OSPF 接口配置 IPsec 身份验证
此示例说明如何配置手动安全关联 (SA) 并将其应用于 OSPF 接口。
要求
准备工作:
配置设备接口。
为 OSPF 网络中的设备配置路由器标识符。
控制 OSPF 指定的路由器选择。
配置单区域 OSPF 网络。
配置多区域 OSPF 网络。
概述
您可以对 OSPF 和 OSPFv3 使用 IPsec 身份验证。您可以单独配置手动 SA,并将其应用于适用的 OSPF 配置。 表 3 列出了此示例中为手动 SA 配置的参数和值。
参数 |
value |
|---|---|
SA 名称 |
sa1 |
模式 |
运输 |
方向 |
双向 |
协议 |
AH |
SPI |
256 |
身份验证算法 图例标示 |
HMAC-MD5-96 (ASCII) 123456789012abc |
加密算法 图例标示 |
德斯 (ASCII) cba210987654321 |
配置
配置手动 SA
CLI 快速配置
要在 OSPF 接口上快速配置用于 IPsec 身份验证的手动 SA,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit 。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置手动 SA,请执行以下操作:
指定 SA 的名称。
[edit] user@host# edit security ipsec security-association sa1
指定手动 SA 的模式。
[edit security ipsec security-association sa1] user@host# set mode transport
配置手动 SA 的方向。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
配置要使用的 IPsec 协议。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
配置 SPI 的值。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
配置身份验证算法和密钥。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
配置加密算法和密钥。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
结果
输入命令确认 show security ipsec 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。
配置密码后,看不到密码本身。输出显示您配置的密码的加密形式。
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
为 OSPF 接口启用 IPsec 身份验证
CLI 快速配置
要将用于 IPsec 身份验证的手动 SA 快速应用于 OSPF 接口,请复制以下命令,将其粘贴到文本文件中,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit 。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
分步过程
要为 OSPF 接口启用 IPsec 身份验证,请执行以下操作:
创建 OSPF 区域。
要指定 OSPFv3,请在层次结构级别包含
ospf3该语句[edit protocols]。[edit] user@host# edit protocols ospf area 0.0.0.0
指定接口。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
应用 IPsec 手动 SA。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
结果
输入命令确认 show ospf interface detail 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。
要确认 OSPFv3 配置,请输入 show protocols ospf3 命令。
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
确认配置工作正常。
验证 IPsec 安全关联设置
目的
验证配置的 IPsec 安全关联设置。验证以下信息:
安全关联 字段显示已配置安全关联的名称。
SPI 字段显示您配置的值。
模式字段显示传输模式。
“类型”字段将“手动”显示为安全关联的类型。
操作
在操作模式下,输入 show ospf interface detail 命令。
使用 VPN 向导配置 IPsec VPN
VPN 向导使您能够执行基本的 IPsec VPN 配置,包括第 1 阶段和第 2 阶段。如需更高级的配置,请使用 J-Web 界面或 CLI。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。
要使用 VPN 向导配置 IPsec VPN,请执行以下操作:
- 在 J-Web 界面中选择
Configure>Device Setup>VPN。 - 单击启动 VPN 向导按钮。
- 按照向导提示操作。
向导页的左上角区域显示您在配置过程中所处的位置。页面的左下角区域显示与字段相关的帮助。单击“资源”标题下的链接时,文档将在浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而不是浏览器窗口)。
另请参阅
示例:配置中心辐射型 VPN
此示例说明如何为企业级部署配置中心辐射型 IPsec VPN。有关采用 IKEv1 和 IKEv2 的站点到站点 IPSec VPN,请分别参阅 采用 IKEv1 的基于路由的 IPsec VPN 和 采用 IKEv1 的基于路由的 IPsec VPN 。
要求
概述
此示例介绍如何配置分支机构部署中常见的中心辐射型 VPN。中心是公司办公室,有两个分支 - 加利福尼亚州森尼维尔的分支机构和马萨诸塞州韦斯特福德的分支机构。分支机构的用户将使用 VPN 与公司办公室安全地传输数据。
图 1 显示了中心辐射型 VPN 拓扑的示例。在此拓扑中,SRX5800设备位于公司办公室。SRX 系列防火墙位于韦斯特福德分公司,SSG140 设备位于森尼维尔分公司。
在此示例中,您将配置公司办公中心、韦斯特福德辐条和森尼维尔辐条。首先,配置接口、IPv4 静态和默认路由、安全区域和地址簿。然后配置 IKE 第 1 阶段和 IPsec 第 2 阶段参数,并将 st0.0 接口绑定到 IPsec VPN。在集线器上,为多点配置 st0.0,并为森尼维尔辐条添加静态 NHTB 表条目。最后,配置安全策略和 TCP-MSS 参数。有关此示例中使用的特定配置参数,请参阅表 4到表 8。
中心或辐射型 |
功能 |
名称 |
配置参数 |
|---|---|---|---|
枢纽 |
接口 |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
辐条 |
接口 |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
枢纽 |
安全区域 |
trust |
|
untrust |
|
||
vpn |
st0.0 接口绑定到此区域。 |
||
辐条 |
安全区域 |
trust |
|
untrust |
|
||
vpn |
st0.0 接口绑定到此区域。 |
||
枢纽 |
通讯簿条目 |
本地网络 |
|
森尼维尔网 |
|
||
韦斯特福德网 |
|
||
辐条 |
通讯簿条目 |
本地网络 |
|
公司网络 |
|
||
森尼维尔网 |
|
中心或辐射型 |
功能 |
名称 |
配置参数 |
|---|---|---|---|
枢纽 |
提议 |
IKE 第 1 阶段提案 |
|
策略 |
IKE-Phase 1-策略 |
|
|
网关 |
GW-韦斯特福德 |
|
|
gw-sunnyvale |
|
||
辐条 |
提议 |
IKE 第 1 阶段提案 |
|
策略 |
IKE-Phase 1-策略 |
|
|
网关 |
GW-公司 |
|
中心或辐射型 |
功能 |
名称 |
配置参数 |
|---|---|---|---|
枢纽 |
提议 |
IPSec 第 2 阶段提案 |
|
策略 |
ipsec-phase2-policy |
|
|
VPN |
VPN-森尼维尔 |
|
|
VPN-韦斯特福德 |
|
||
辐条 |
提议 |
IPSec 第 2 阶段提案 |
|
策略 |
ipsec-phase2-policy |
|
|
VPN |
VPN 企业 |
|
中心或辐射型 |
目的 |
名称 |
配置参数 |
|---|---|---|---|
枢纽 |
安全策略允许从信任区域到 VPN 区域的流量。 |
本地到分支 |
|
安全策略允许从 VPN 区域到信任区域的流量。 |
辐射到本地 |
匹配标准:
|
|
安全策略允许区域内流量。 |
分支到分支 |
匹配标准:
|
|
辐条 |
安全策略允许从信任区域到 VPN 区域的流量。 |
公司 |
|
安全策略允许从 VPN 区域到信任区域的流量。 |
从公司 |
匹配标准:
|
|
安全策略允许从不信任区域到信任区域的流量。 |
允许 - 任何 |
匹配标准:
|
目的 |
配置参数 |
|---|---|
TCC-MSS 作为 TCP 三次握手的一部分进行协商,并限制 TCP 段的最大大小,以更好地适应网络上的 MTU 限制。对于 VPN 流量,IPsec 封装开销以及 IP 和帧开销会导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。分段会导致带宽和设备资源的使用增加。 对于大多数基于以太网且 MTU 为 1500 或更高的网络,建议从 1350 值开始。您可能需要试验不同的 TCP-MSS 值,以获得最佳性能。例如,如果路径中任何设备的 MTU 较低,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。 |
MSS 值:1350 |
配置
- 配置中枢的基本网络、安全区域和通讯簿信息
- 为集线器配置 IKE
- 为集线器配置 IPsec
- 为中枢配置安全策略
- 为集线器配置 TCP-MSS
- 为 Westford 分支配置基本网络、安全区域和通讯簿信息
- 为 Westford 分支配置 IKE
- 为 Westford 分支配置 IPsec
- 为韦斯特福德辐条配置安全策略
- 为 Westford 分支配置 TCP-MSS
- 配置森尼维尔辐条
配置中枢的基本网络、安全区域和通讯簿信息
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为中心配置基本网络、安全区域和通讯簿信息,请执行以下操作:
配置以太网接口信息。
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
配置静态路由信息。
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
配置不信任安全区域。
[edit ] user@hub# set security zones security-zone untrust
为不信任安全区域分配接口。
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
为不信任安全区域指定允许的系统服务。
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
配置信任安全区域。
[edit] user@hub# edit security zones security-zone trust
为信任安全区域分配接口。
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
为信任安全区域指定允许的系统服务。
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
创建通讯簿并向其附加区域。
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
配置 VPN 安全区域。
[edit] user@hub# edit security zones security-zone vpn
为 VPN 安全区域分配接口。
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
创建另一个通讯簿并向其附加一个区域。
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
结果
在配置模式下,输入 show interfaces 、show routing-options、show security zones 和 show security address-book 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
如果完成设备配置,请从配置模式输入 commit。
为集线器配置 IKE
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为中心配置 IKE,请执行以下操作:
创建 IKE 第 1 阶段提议。
[edit security ike] user@hub# set proposal ike-phase1-proposal
定义 IKE 提议身份验证方法。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
定义 IKE 提议 Diffie-Hellman 组。
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
定义 IKE 提议身份验证算法。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
定义 IKE 提议加密算法。
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
创建 IKE 第 1 阶段策略。
[edit security ike] user@hub# set policy ike-phase1-policy
设置 IKE 第 1 阶段策略模式。
[edit security ike policy ike-phase1-policy] user@hub# set mode main
指定对 IKE 提议的参考。
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
定义 IKE 第 1 阶段策略身份验证方法。
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
创建 IKE 第 1 阶段网关并定义其外部接口。
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
定义 IKE 第 1 阶段策略参考。
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
定义 IKE 第 1 阶段网关地址。
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
创建 IKE 第 1 阶段网关并定义其外部接口。
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
定义 IKE 第 1 阶段策略参考。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
定义 IKE 第 1 阶段网关地址。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
结果
在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
如果完成设备配置,请从配置模式输入 commit。
为集线器配置 IPsec
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为中心配置 IPsec,请执行以下操作:
创建 IPsec 第 2 阶段提议。
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
指定 IPsec 第 2 阶段提议协议。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
指定 IPsec 第 2 阶段提议身份验证算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
指定 IPsec 第 2 阶段提议加密算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
创建 IPsec 第 2 阶段策略。
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
指定 IPsec 第 2 阶段提议参考。
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 2。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
指定 IKE 网关。
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
指定 IPsec 第 2 阶段策略。
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
指定要绑定的接口。
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
将 st0 接口配置为多点接口。
[edit] user@hub# set interfaces st0 unit 0 multipoint
为森尼维尔和韦斯特福德办公室添加静态 NHTB 表条目。
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
结果
在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
如果完成设备配置,请从配置模式输入 commit。
为中枢配置安全策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为中枢配置安全策略,请执行以下操作:
创建安全策略以允许从信任区域到 VPN 区域的流量。
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
创建安全策略以允许从 VPN 区域到信任区域的流量。
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
创建安全策略以允许区域内流量。
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit。
为集线器配置 TCP-MSS
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security flow tcp-mss ipsec-vpn mss 1350
分步过程
要为集线器配置 TCP-MSS 信息,请执行以下操作:
配置 TCP-MSS 信息。
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
结果
在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
如果完成设备配置,请从配置模式输入 commit。
为 Westford 分支配置基本网络、安全区域和通讯簿信息
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为 Westford 辐射配置基本网络、安全区域和通讯簿信息,请执行以下操作:
配置以太网接口信息。
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
配置静态路由信息。
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
配置不信任安全区域。
[edit] user@spoke# set security zones security-zone untrust
为安全区域分配接口。
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
为不信任安全区域指定允许的系统服务。
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
配置信任安全区域。
[edit] user@spoke# edit security zones security-zone trust
为信任安全区域分配接口。
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
为信任安全区域指定允许的系统服务。
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
配置 VPN 安全区域。
[edit] user@spoke# edit security zones security-zone vpn
为 VPN 安全区域分配接口。
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
创建通讯簿并向其附加区域。
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
创建另一个通讯簿并向其附加一个区域。
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
结果
在配置模式下,输入 show interfaces 、show routing-options、show security zones 和 show security address-book 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
如果完成设备配置,请从配置模式输入 commit。
为 Westford 分支配置 IKE
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为 Westford 辐射配置 IKE,请执行以下操作:
创建 IKE 第 1 阶段提议。
[edit security ike] user@spoke# set proposal ike-phase1-proposal
定义 IKE 提议身份验证方法。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
定义 IKE 提议 Diffie-Hellman 组。
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
定义 IKE 提议身份验证算法。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
定义 IKE 提议加密算法。
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
创建 IKE 第 1 阶段策略。
[edit security ike] user@spoke# set policy ike-phase1-policy
设置 IKE 第 1 阶段策略模式。
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
指定对 IKE 提议的参考。
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
定义 IKE 第 1 阶段策略身份验证方法。
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
创建 IKE 第 1 阶段网关并定义其外部接口。
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
定义 IKE 第 1 阶段策略参考。
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
定义 IKE 第 1 阶段网关地址。
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
结果
在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
如果完成设备配置,请从配置模式输入 commit。
为 Westford 分支配置 IPsec
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为 Westford 辐射配置 IPsec,请执行以下操作:
创建 IPsec 第 2 阶段提议。
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
指定 IPsec 第 2 阶段提议协议。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
指定 IPsec 第 2 阶段提议身份验证算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
指定 IPsec 第 2 阶段提议加密算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
创建 IPsec 第 2 阶段策略。
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
指定 IPsec 第 2 阶段提议参考。
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 2。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
指定 IKE 网关。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
指定 IPsec 第 2 阶段策略。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
指定要绑定的接口。
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
结果
在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
如果完成设备配置,请从配置模式输入 commit。
为韦斯特福德辐条配置安全策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为韦斯特福德辐条配置安全策略,请执行以下操作:
创建安全策略以允许从信任区域到 VPN 区域的流量。
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
创建安全策略以允许从 VPN 区域到信任区域的流量。
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit。
为 Westford 分支配置 TCP-MSS
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set security flow tcp-mss ipsec-vpn mss 1350
分步过程
要为 Westford 辐射配置 TCP-MSS,请执行以下操作:
配置 TCP-MSS 信息。
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
结果
在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
如果完成设备配置,请从配置模式输入 commit。
配置森尼维尔辐条
CLI 快速配置
此示例将 SSG 系列设备用于森尼维尔辐条。为了参考,提供了 SSG 系列设备的配置。有关配置 SSG 系列设备的信息,请参见 Concepts and Examples ScreenOS Reference Guide位于 https://www.juniper.net/documentation 的 。
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
验证
要确认配置工作正常,请执行以下任务:
验证 IKE 第 1 阶段状态
目的
验证 IKE 第 1 阶段状态。
操作
在开始验证过程之前,您需要将流量从 192.168.10/24 网络中的主机发送到 192.168.168/24 和 192.168.178/24 网络中的主机以启动隧道。对于基于路由的 VPN,您可以通过隧道发送从 SRX 系列防火墙发起的流量。建议在测试 IPsec 隧道时,将测试流量从 VPN 一端的单独设备发送到 VPN 另一端的另一台设备。例如,发起从 192.168.10.10 到 192.168.168.10 的 ping。
在操作模式下,输入 show security ike security-associations 命令。从命令获取索引号之后,请使用 show security ike security-associations index index_number detail 命令。
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done意义
该 show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。
如果列出了 SA,请查看以下信息:
索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中
show security ike security-associations index detail使用它来获取有关 SA 的更多信息。远程地址 - 验证远程 IP 地址是否正确。
State
UP—已建立第 1 阶段 SA。
DOWN — 建立第 1 阶段 SA 时出现问题。
模式 - 验证是否使用了正确的模式。
验证配置中的以下信息是否正确:
外部接口(接口必须是接收 IKE 数据包的接口)
IKE 策略参数
预共享密钥信息
第 1 阶段提议参数(必须在两个对等方上匹配)
show security ike security-associations index 1 detail 命令会列出有关索引号为 1 的安全关联的其他信息:
使用的身份验证和加密算法
第 1 阶段生存期
流量统计(可用于验证流量是否在两个方向上正常流动)
发起方和响应方角色信息
最好使用响应方角色在对等方上执行故障排除。
创建的 IPsec SA 数
正在进行的第 2 阶段协商数
验证 IPsec 第 2 阶段状态
目的
验证 IPsec 第 2 阶段状态。
操作
在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号之后,请使用 show security ipsec security-associations index index_number detail 命令。
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
意义
show security ipsec security-associations 命令输出列出以下信息:
ID 号为 16385。将此值用于
show security ipsec security-associations index命令,可获取有关此特定 SA 的更多信息。有一个 IPsec SA 对使用端口 500,表示未实施任何 NAT 遍历。(NAT 遍历使用端口 4500 或其他随机大编号端口。)
两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。28756/unlim 值表示第 2 阶段生存期将在 28756 秒后过期,并且未指定生存大小,表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。
如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。
虚拟系统 (vsys) 是根系统,始终列出 0。
show security ipsec security-associations index 16385 detail 命令输出列出以下信息:
本地身份和远程身份组成 SA 的代理 ID。
代理 ID 不匹配是第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。
第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。
验证下一跃点隧道绑定
目的
完成所有对等方的第 2 阶段后,验证下一跃点隧道绑定。
操作
在操作模式下,输入 show security ipsec next-hop-tunnels 命令。
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
意义
下一跃点网关是所有远程分支对等方的 st0 接口的 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。如果不存在 NHTB 条目,则集线器设备无法区分哪个 IPsec VPN 与哪个下一跃点相关联。
“标志”字段具有以下值之一:
静态— — NHTB 是在 st0.0 接口配置中手动配置的,如果对等方不是 SRX 系列防火墙,则需要配置此项配置。
自动 — 未配置 NHTB,但在两个 SRX 系列防火墙之间的第 2 阶段协商期间,该条目会自动填充到 NHTB 表中
在此示例中,没有任何分支站点的 NHTB 表。从分支的角度来看,st0 接口仍然是只有一个 IPsec VPN 绑定的点对点链路。
验证远程对等本地 LAN 的静态路由
目的
验证静态路由是否引用分支对等方的 st0 IP 地址。
操作
在操作模式下,输入 show route 命令。
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0下一跃点是远程对等方的 st0 IP 地址,两个路由都指向 st0.0 作为传出接口。
查看 IPsec 安全关联的统计信息和错误
目的
查看 IPsec 安全关联的 ESP 和身份验证标头计数器和错误。
操作
在操作模式下,输入 show security ipsec statistics index 命令。
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
也可以使用 show security ipsec statistics 命令来查看所有 SA 的统计信息和错误。
要清除所有 IPsec 统计信息,请使用 clear security ipsec statistics 命令。
意义
如果看到 VPN 中有数据包丢失的问题,可以多次运行 show security ipsec statistics 或 show security ipsec statistics detail 命令以确认加密和解密数据包计数器是否在递增。还应检查其他错误计数器是否也在递增。
测试通过 VPN 的流量
目的
验证通过 VPN 的流量。
操作
您可以使用 SRX 系列防火墙中的命令测试 ping 流向远程主机 PC 的流量。请确保指定源接口,以便路由查找是正确的,并且在策略查找过程中引用相应的安全区域。
在操作模式下,输入 ping 命令。
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
也可以从 SSG 系列设备使用 ping 命令。
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
意义
如果 ping 命令在 SRX 系列或 SSG 系列设备上不起作用,则可能是路由、安全策略、终端主机或 ESP 数据包的加密和解密存在问题。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
container-string 和 wildcard-string at 中 [edit security ike gateway gateway_name dynamic distinguished-name] 配置一个动态 DN 属性。如果在配置第一个属性后尝试配置第二个属性,则第一个属性将替换为第二个属性。在升级设备之前,如果已配置其中一个属性,则必须删除这两个属性。