- play_arrow IPsec 基础知识
- play_arrow Junos OS 中的 IPsec VPN
- play_arrow VPN 配置概述
- play_arrow 基于策略的 VPN
- play_arrow 基于服务等级的 VPN
- play_arrow NAT-T
- play_arrow 组 VPN
- play_arrow ADVPN
- play_arrow AutoVPN
- play_arrow 远程访问 VPN
- play_arrow 监控 VPN
- play_arrow 性能调优
- play_arrow 故障排除
- play_arrow 配置语句和操作命令
带有机箱群集的 IPsec VPN 隧道
SRX 系列防火墙支持机箱群集设置中的 IPsec VPN 隧道。在主动/被动机箱群集中,所有 VPN 隧道都在同一节点上终止。在主动/主动机箱群集中,VPN 隧道可以在任一节点上终止。
了解双主动备份 IPsec VPN 机箱群集
在主动/被动机箱群集中,所有 VPN 隧道都在同一节点上终止,如 图 1所示。
在主动/主动机箱群集中,VPN 隧道可以在任一节点上终止。机箱群集中的两个节点可以同时通过两个节点上的 VPN 隧道主动传递流量,如 图 2所示。此部署称为 双主动备份 IPsec VPN 机箱群集。
双主动备份 IPsec VPN 机箱群集支持以下功能:
仅限基于路由的 VPN。不支持基于策略的 VPN。
IKEv1 和 IKEv2。
数字证书或预共享密钥身份验证。
虚拟路由器中的 IKE 和安全隧道接口 (st0)。
网络地址转换遍历 (NAT-T)。
VPN 监控。
失效对等体检测。
不中断服务的软件升级 (ISSU)。
在机箱群集设备上插入服务处理卡 (SPC),而不会中断现有 VPN 隧道上的流量。请参阅 插入服务处理卡的 VPN 支持。
动态路由协议。
在点对多点模式下配置的安全隧道接口 (st0)。
AutoVPN 带有点对点模式下的 st0 接口,带有流量选择器。
IPv4-in-IPv4、IPv6-in-IPv4、IPv6-in-IPv6 和 IPv4-in-IPv6 隧道模式。
分段流量。
环路接口可配置为 VPN 的外部接口。
双主动备份 IPsec VPN 机箱群集不能配置 Z 模式流。当流量进入机箱群集节点上的接口,通过交换矩阵链路,然后通过另一个群集节点上的接口退出时,就会发生 Z 模式流。
另请参阅
示例:为环路接口配置冗余组
此示例说明如何为环路接口配置冗余组 (RG) 以防止 VPN 故障。冗余组用于将接口捆绑到一个组中,以便在机箱群集设置中进行故障切换。
要求
此示例使用以下硬件和软件:
一对受支持的机箱群集 SRX 系列防火墙
SSG140 设备或同等设备
两个交换机
适用于 SRX 系列防火墙的 Junos OS 12.1x44-D10 或更高版本
准备工作:
了解机箱群集冗余以太网接口。请参阅 SRX 系列设备的机箱群集用户指南。
概述
互联网密钥交换 (IKE) 网关需要外部接口才能与对等设备通信。在机箱群集设置中,外部接口处于活动状态的节点会选择一个服务处理单元 (SPU) 来支持 VPN 隧道。IKE 和 IPsec 数据包在该 SPU 上处理。因此,活动外部接口决定锚点 SPU。
在机箱群集设置中,外部接口是冗余以太网接口。冗余以太网接口的物理(子)接口关闭时可能会关闭。您可以将环路接口配置为访问对等网关的备用物理接口。可以在任何冗余组上配置环路接口。仅检查此冗余组配置的 VPN 数据包,因为只有 VPN 数据包必须通过活动接口找到锚点 SPU。
您必须在自定义虚拟路由器中配置 lo0.x,因为 lo0.0 位于默认虚拟路由器中,并且虚拟路由器中只允许一个环路接口。
图 3 显示了环路机箱群集 VPN 拓扑的示例。在此拓扑中,SRX 系列防火墙机箱群集设备位于加利福尼亚州桑尼维尔。SRX 系列防火墙机箱群集设备在此设置中用作单个网关。SSG 系列设备(或第三方设备)位于伊利诺伊州芝加哥。此设备充当 SRX 机箱群集的对等设备,有助于构建 VPN 隧道。
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces lo0 unit 1 family inet address 10.3.3.3/30 set routing-instances vr1 instance-type virtual-router set routing-instances vr1 interface lo0.1 set routing-instances vr1 interface reth0.0 set routing-instances vr1 interface reth1.0 set routing-instances vr1 interface st0.0 set routing-instances vr1 routing-options static route 192.168.168.1/24 next-hop st0.0 set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposal-set standard set security ike policy ike-policy1 pre-shared-key ascii-text "$ABC123" set security ike gateway t-ike-gate ike-policy ike-policy1 set security ike gateway t-ike-gate address 10.2.2.2 set security ike gateway t-ike-gate external-interface lo0.1 set security ipsec proposal p2-std-p1 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p1 encryption-algorithm 3des-cbc set security ipsec proposal p2-std-p1 lifetime-seconds 180 set security ipsec proposal p2-std-p2 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p2 encryption-algorithm aes-128-cbc set security ipsec proposal p2-std-p2 lifetime-seconds 180 set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals p2-std-p1 set security ipsec policy vpn-policy1 proposals p2-std-p2 set security ipsec vpn t-ike-vpn bind-interface st0.0 set security ipsec vpn t-ike-vpn ike gateway t-ike-gate set security ipsec vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 set security ipsec vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 set security ipsec vpn t-ike-vpn ike ipsec-policy vpn-policy1
分步过程
要为环路接口配置冗余组:
在一个冗余组中配置环路接口。
content_copy zoom_out_map[edit interfaces] user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
配置环路接口的 IP 地址。
content_copy zoom_out_map[edit interfaces] user@host# set lo0 unit 1 family inet address 10.3.3.3/30
配置路由选项。
content_copy zoom_out_map[edit routing-instances] user@host# set vr1 instance-type virtual-router user@host# set vr1 interface lo0.1 user@host# set vr1 interface reth0.0 user@host# set vr1 interface reth1.0 user@host# set vr1 interface st0.0 user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
将环路接口配置为 IKE 网关的外部接口。
content_copy zoom_out_map[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposal-set standard user@host# set policy ike-policy1 pre-shared-key ascii-text "$ABC123" user@host# set gateway t-ike-gate ike-policy ike-policy1 user@host# set gateway t-ike-gate address 10.2.2.2 user@host# set gateway t-ike-gate external-interface lo0.1
配置 IPsec 提议。
content_copy zoom_out_map[edit security ipsec] user@host# set proposal p2-std-p1 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p1 encryption-algorithm 3des-cbc user@host# set proposal p2-std-p1 lifetime-seconds 180 user@host# set proposal p2-std-p2 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p2 encryption-algorithm aes-128-cbc user@host# set proposal p2-std-p2 lifetime-seconds 180 user@host# set policy vpn-policy1 perfect-forward-secrecy keys group2 user@host# set policy vpn-policy1 proposals p2-std-p1 user@host# set policy vpn-policy1 proposals p2-std-p2 user@host# set vpn t-ike-vpn bind-interface st0.0 user@host# set vpn t-ike-vpn ike gateway t-ike-gate user@host# set vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 user@host# set vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 user@host# set vpn t-ike-vpn ike ipsec-policy vpn-policy1
结果
在配置模式下,输入 show interfaces lo0 、show routing-instances、show security ike 和 show security ipsec 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。
[edit]
user@host# show interfaces lo0
unit 1 {
family inet {
address 10.3.3.3/30;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
[edit]
user@host# show routing-instances
vr1 {
instance-type virtual-router;
interface lo0.1;
interface reth0.0;
interface reth1.0;
interface st0.0;
routing-options {
static {
route 192.168.168.1/24 next-hop st0.0;
}
}
}
[edit]
user@host# show security ike
policy ike-policy1 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$ABC123";
}
gateway t-ike-gate {
ike-policy ike-policy1;
address 10.2.2.2;
external-interface lo0.1;
}
[edit]
user@host# show security ipsec
proposal p2-std-p1 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
proposal p2-std-p2 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 180;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
policy vpn-policy2 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
vpn t-ike-vpn {
bind-interface st0.0;
ike {
gateway t-ike-gate;
proxy-identity {
local 10.10.10.1/24;
remote 192.168.168.1/24;
}
ipsec-policy vpn-policy1;
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
验证配置
目的
验证环路接口冗余组的配置是否正确。
操作
在操作模式下,输入 show chassis cluster interfaces 命令。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Status
0 em0 Up
1 em1 Down
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
fab0 ge-0/0/7 Up / Up
fab0
fab1 ge-13/0/7 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Down Not configured
reth4 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
意义
命令将显示 show chassis cluster interfaces 机箱群集接口信息。如果冗余伪接口信息字段的状态将 lo0 接口显示为 Up,冗余以太网信息字段的状态将 reth0、reth1 和 reth2 字段显示为 Up,则您的配置是正确的。
