Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在运行 Junos OS 的设备上配置 VPN

本节介绍使用以下 IKE 身份验证方法在 Junos OS 设备上的 IPsec VPN 配置示例:

图 1 说明了本节所述所有示例中使用的 VPN 拓扑。在这里,H0 和 H1 是主机 PC,R0 和 R2 是 IPsec VPN 隧道的两个端点,R1 是在两个不同网络之间路由流量的路由器。

注意:

路由器 R1 可以是基于 Linux 的路由器、瞻博网络设备或任何其他供应商路由器。

图 1:VPN 拓扑 VPN Topology

表 1 提供了支持的 IKE 协议、隧道模式、第 1 阶段协商模式、身份验证方法或算法、加密算法、IKE 身份验证和加密(第 1 阶段,IKE 建议)以及 IPsec 身份验证和加密(第 2 阶段,IPsec 建议)支持的 DH 组的完整列表。列出的协议、模式和算法是 22.2R2 通用标准支持和必需的。

表 1:VPN 组合矩阵

IKE 协议

隧道模式

第 1 阶段协商模式

第 1 阶段提案(P1、IKE)

身份验证方法

身份验证算法

DH集团

加密算法

IKEv1

主要

路线

预共享密钥

SHA-256

组14

IKEv2

   

RSA 签名-2048

SHA-384

组19

AES-128-CBC

     

ECDSA 签名-256

 

组20

AES-128-GCM

     

ECDSA 签名-384

 

组24

AES-192-CBC

           

AES-256-CBC

           

AES-256-GCM

IKE 协议

隧道模式

第 1 阶段协商模式

第 2 阶段提议(P2、IPsec)

身份验证算法

卫生署集团

加密方法

加密算法

IKEv1

主要

路线

HMAC-SHA1-96

组14

电除尘器

IKEv2

   

HMAC-SHA-256-128

组19

 

AES-128-CBC

       

组20

 

AES-128-GCM

       

组24

 

AES-192-CBC

           

AES-192-GCM

           

AES-256-CBC

           

AES-256-GCM

注意:

以下部分提供了所选算法的 IKEv1 IPsec VPN 示例配置示例。可以在配置中替换身份验证算法,以实现用户所需的配置。将命令用于 set security ike gateway <gw-name> version v2-only IKEv2 IPsec VPN。

使用用于 IKE 身份验证的预共享密钥配置 IPsec VPN

本节提供了使用预共享密钥作为 IKE 身份验证方法配置运行 Junos OS 的 IPsec VPN 的设备的说明。IKE 或 IPsec 身份验证或加密中使用的算法如表 2 所示

表 2:IKE 或 IPsec 身份验证

IKE 协议

隧道模式

第 1 阶段协商模式

第 1 阶段提案(P1、IKE)

身份验证方法

身份验证算法

DH集团

加密算法

IKEv1

主要

路线

预共享密钥

SHA-256

组14

AES-256-CBC

IKE 协议

隧道模式

第 1 阶段协商模式

第 2 阶段提议(P2、IPsec)

身份验证算法

卫生署集团

加密方法

加密算法

IKEv1

主要

路线

HMAC-SHA-256-128

组14

电除尘器

AES-256-CBC

注意:

运行 Junos OS 的设备使用基于证书的身份验证或预共享密钥来实现 IPsec。TOE 接受最多 255 个字符(及其二进制等效项)的 ASCII 预共享或基于位的密钥,这些密钥包含大写和小写字母、数字和特殊字符,例如 !、@、#、$、%^、&、*、( 和 )。设备接受预共享文本密钥,并根据配置为 IKE 交换哈希算法的 RFC 2409 或 IKEv2 的 RFC 4306 将文本字符串转换为身份验证值。Junos OS 未对预共享密钥施加最低复杂性要求。因此,建议用户仔细选择足够复杂的长预共享密钥。

使用预共享密钥配置的 IPsec VPN 作为启动器上的 IKE 身份验证

要在启动器上使用预共享密钥 IKE 身份验证配置 IPsec VPN,请执行以下操作:

  1. 配置 IKE 提议。

    注意:

    ike-proposal1下面是授权管理员提供的 IKE 提议名称。

  2. 配置 IKE 策略。

    注意:

    此处是 ike-policy1 IKE 策略名称, ike-proposal1 也是授权管理员提供的 IKE 提议名称。

    注意:

    出现提示时,您必须输入并重新输入预共享密钥。例如,预共享密钥可以是 CertSqa@jnpr2014

    注意:

    也可以以十六进制格式输入预共享密钥。例如:

    输入十六进制预共享密钥值。

  3. 配置 IPsec 提议。

    注意:

    ipsec-proposal1下面是授权管理员提供的 IPsec 提议名称。

  4. 配置 IPsec 策略。

    注意:

    此处是 ipsec-policy1 IPsec 策略名称, ipsec-proposal1 也是授权管理员提供的 IPsec 提议名称。

  5. 配置 IKE。

    注意:

    此处是 gw1 IKE 网关名称, 192.0.2.8 是对等方 VPN 端点 IP, 192.0.2.5 是本地 VPN 端点 IP, ge-0/0/2 是作为 VPN 端点的本地出站接口。对于 IKEv2,还需要以下附加配置

  6. 配置 VPN。

    注意:

    安全隧道接口 (st0) 是基于路由的 VPN 用来将明文流量路由到 IPsec VPN 隧道的内部接口。有关安全隧道接口的详细信息,请参阅 虚拟路由器中的安全隧道接口

    注意:

    vpn1下面是授权管理员提供的 VPN 隧道名称。

  7. 配置出站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  8. 配置入站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  9. 提交配置。

使用预共享密钥配置IPsec VPN 作为响应程序上的 IKE 身份验证

要在响应程序上使用预共享密钥 IKE 身份验证配置 IPsec VPN,请执行以下操作:

  1. 配置 IKE 提议。

    注意:

    ike-proposal1下面是授权管理员提供的 IKE 提议名称。

  2. 配置 IKE 策略。

    注意:

    此处是 ike-policy1 IKE 策略名称, ike-proposal1 也是授权管理员提供的 IKE 提议名称。

    注意:

    出现提示时,您必须输入并重新输入预共享密钥。例如,预共享密钥可以是 CertSqa@jnpr2014

    注意:

    也可以以十六进制格式输入预共享密钥。例如

    在这里,十六进制预共享密钥可以是 cc2014bae9876543

  3. 配置 IPsec 提议。

    注意:

    ipsec-proposal1下面是授权管理员提供的 IPsec 提议名称。

  4. 配置 IPsec 策略。

    注意:

    此处是 ipsec-policy1 IPsec 策略名称, ipsec-proposal1 也是授权管理员提供的 IPsec 提议名称。

  5. 配置 IKE。

    注意:

    此处是 gw1 IKE 网关名称, 192.0.2.5 是对等方 VPN 端点 IP, 192.0.2.8 是本地 VPN 端点 IP, ge-0/0/2 是作为 VPN 端点的本地出站接口。对于 IKEv2,还需要以下附加配置。

  6. 配置 VPN。

    注意:

    vpn1下面是授权管理员提供的 VPN 隧道名称。

  7. 配置出站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  8. 配置入站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  9. 提交配置。

使用 RSA 签名配置 IPsec VPN 以进行 IKE 身份验证

以下部分提供了使用 RSA 签名作为 IKE 身份验证方法为 IPsec VPN 配置 Junos OS 设备的示例,而 IKE/IPsec 身份验证/加密中使用的算法如下表所示。在本节中,您将使用 RSA 签名作为 IKE 身份验证方法,配置运行 Junos OS 的 IPsec VPN 的设备。IKE 或 IPsec 身份验证或加密中使用的算法如 表 2 所示。

每次为 IPsec 身份验证提供证书时,TOE 都会检查 X.509 证书的有效性。为了验证证书,TOE 提取主题、颁发者、主题的公钥、签名、基本约束和有效期字段。如果不存在任何字段,则验证失败。在 PKI 数据库中查找颁发者。如果颁发者不存在,或者颁发者证书在“基本约束”部分中没有 CA:true 标志,则验证将失败。TOE 验证签名的有效性。如果签名无效,验证将失败。然后,如果 TOE 已配置为使用 CRL 执行吊销检查(如 RFC 5280 第 6.3 节中指定),则确认当前日期和时间在证书中指定的有效时间段内。如果 CRL 下载失败,则证书将被视为验证失败,除非已启用下载失败时跳过 CRL 检查的选项。

表 3:IKE/IPsec 身份验证和加密

IKE 协议

隧道模式

第 1 阶段协商模式

第 1 阶段提案(P1、IKE)

身份验证方法

身份验证算法

DH集团

加密算法

IKEv1

主要

路线

RSA 签名-2048

SHA-256

组19

AES-128-CBC

IKE 协议

隧道模式

第 1 阶段协商模式

第 2 阶段提议(P2、IPsec)

身份验证算法

卫生署集团

加密方法

加密算法

IKEv1

主要

路线

HMAC-SHA-256-128

组19

电除尘器

AES-128-CBC

将带有 RSA 签名的 IPsec VPN 配置为发起方或响应方上的 IKE 身份验证

要在启动器上使用 RSA 签名 IKE 身份验证配置 IPsec VPN,请执行以下操作:

  1. 配置 PKI。请参阅 示例:配置 PKI

  2. 生成 RSA 密钥对。请参阅 示例:生成公钥-私钥对

  3. 生成并加载 CA 证书。请参阅 示例:手动加载 CA 和本地证书

  4. 加载 CRL。请参阅 示例:手动将 CRL 加载到设备上

  5. 生成并加载本地证书。请参阅 示例:手动加载 CA 和本地证书

  6. 配置 IKE 提议。

    注意:

    可以使用禁用选项禁用吊销检查,也可以选择 crl 选项来配置 CRL 属性。 set security pki ca-profile <profilename>revocation-check crl disable 当 CA 配置文件的 CRL 下载失败时,使用下载失败命令禁用下载失败选项以允许与 CA 配置文件匹配的会话。仅当同一 CA 配置文件中不存在旧 CRL 时,才允许会话。“此处,ike-proposal1 是授权管理员提供的名称。

  7. 配置 IKE 策略。

    注意:

    此处为 ike-policy1 授权管理员提供的 IKE 策略名称。

  8. 配置 IPsec 提议。

    注意:

    此处是 ipsec-proposal1 授权管理员提供的名称。

  9. 配置 IPsec 策略。

    注意:

    此处是 ipsec-policy1 授权管理员提供的名称。

  10. 配置 IKE。

    注意:

    此处为 192.0.2.8 对等方 VPN 端点 IP、 192.0.2.5 本地 VPN 端点 IP, fe-0/0/1 以及作为 VPN 端点的本地出站接口。IKEv2 也需要以下配置。

  11. 配置 VPN。

    注意:

    vpn1下面是授权管理员提供的 VPN 隧道名称。

  12. 配置出站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 是预配置的网络地址。

  13. 配置入站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  14. 提交配置。

Web 服务器(示例 Apache 2)可用于在 CRL 服务器上托管 CRL 文件,然后设备可以通过 HTTP 检索这些文件。

使用 ECDSA 签名配置 IPsec VPN 以进行 IKE 身份验证

在本节中,您将使用 ECDSA 签名作为 IKE 身份验证方法,配置运行 Junos OS 的 IPsec VPN 的设备。IKE 或 IPsec 身份验证或加密中使用的算法如 表 2 所示。

表 4:IKE 或 IPsec 身份验证和加密

IKE 协议

隧道模式

第 1 阶段协商模式

第 1 阶段提案(P1、IKE)

身份验证方法

身份验证算法

DH集团

加密算法

IKEv1

主要

路线

ECDSA 签名-256

SHA-384

组14

AES-256-CBC

IKE 协议

隧道模式

第 1 阶段协商模式

第 2 阶段提议(P2、IPsec)

身份验证算法

卫生署集团

加密方法

加密算法

IKEv1

主要

路线

无算法

组14

电除尘器

AES-256-GCM

在启动器上使用 ECDSA 签名 IKE 身份验证配置 IPsec VPN

要在启动器上使用 ECDSA 签名 IKE 身份验证配置 IPsec VPN,请执行以下操作:

  1. 配置 PKI。请参阅示例 :配置 PKI

  2. 生成 ECDSA 密钥对。请参阅 示例:生成公钥-私钥对

  3. 生成并加载 CA 证书。请参阅 示例:手动加载 CA 和本地证书

  4. 加载 CRL。请参阅 示例:手动将 CRL 加载到设备上

  5. 生成并加载本地证书。请参阅 示例:手动加载 CA 和本地证书

  6. 配置 IKE 提议。

    注意:

    ike-proposal1下面是授权管理员提供的 IKE 提议名称。

  7. 配置 IKE 策略。

  8. 配置 IPsec 提议。

    注意:

    ipsec-proposal1下面是授权管理员提供的 IPsec 提议名称。

  9. 配置 IPsec 策略。

    注意:

    此处是 ipsec-policy1 IPsec 策略名称, ipsec-proposal1 也是授权管理员提供的 IPsec 提议名称。

  10. 配置 IKE。

    注意:

    此处是 gw1 IKE 网关名称, 192.0.2.8 是对等方 VPN 端点 IP, 192.0.2.5 是本地 VPN 端点 IP, ge-0/0/2 是作为 VPN 端点的本地出站接口。IKEv2 也需要以下配置。

  11. 配置 VPN。

    注意:

    vpn1下面是授权管理员提供的 VPN 隧道名称。

  12. 配置出站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  13. 配置入站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  14. 提交配置。

在响应程序上使用 ECDSA 签名 IKE 身份验证配置 IPsec VPN

要在响应方上使用 ECDSA 签名 IKE 身份验证配置 IPsec VPN,请执行以下操作:

  1. 配置 PKI。请参阅示例 :配置 PKI

  2. 生成 ECDSA 密钥对。请参阅 示例:生成公钥-私钥对

  3. 生成并加载 CA 证书。请参阅 示例:手动加载 CA 和本地证书

  4. 加载 CRL。请参阅 示例:手动将 CRL 加载到设备上

  5. 配置 IKE 提议。

    注意:

    ike-proposal1下面是授权管理员提供的 IKE 提议名称。

  6. 配置 IKE 策略。

  7. 配置 IPsec 提议。

    注意:

    ipsec-proposal1下面是授权管理员提供的 IPsec 提议名称。

  8. 配置 IPsec 策略。

    注意:

    此处是 ipsec-policy1 IPsec 策略名称, ipsec-proposal1 也是授权管理员提供的 IPsec 提议名称。

  9. 配置 IKE。

    注意:

    此处是 gw1 IKE 网关名称, 192.0.2.5 是对等方 VPN 端点 IP, 192.0.2.8 是本地 VPN 端点 IP, ge-0/0/1 是作为 VPN 端点的本地出站接口。IKEv2 也需要以下配置。

  10. 配置 VPN。

    注意:

    vpn1下面是授权管理员提供的 VPN 隧道名称。

  11. 配置出站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  12. 配置入站流策略。

    注意:

    此处和 trustZone untrustZone 是预配置的安全区域和 trustLanuntrustLan 配置的网络地址。

  13. 提交配置。

配置 IKE SA 的生存期

IKE 生存期设置 IKE SA 的生存期。当 IKE SA 过期时,它将由新的 SA(和 SPI)取代或终止。默认值 IKE 生存期为 3600 秒。

要配置 IKE 生存期,请包含 lifetime-seconds 语句,并在层次结构级别指定 [edit security ike proposal ike-proposal-name] 秒数(180 到 86,400):

配置 IPsec SA 的生存期

IPsec 生存期选项设置 IPsec SA 的生存期。当 IPsec SA 过期时,它将替换为新的 SA(和 SPI)或终止。新的 SA 具有新的身份验证和加密密钥以及 SPI;但是,如果不更改提案,算法可能会保持不变。如果未配置生存期,并且响应方未发送生存期,则生存期为 28,800 秒。

要配置 IPsec 生存期,请包含 lifetime-seconds 语句,并在层次结构级别指定 [edit security ipsec proposal ipsec-proposal-name] 秒数(180 到 28,800):

若要按字节数配置 IPsec 生存期,请包括生存期(千字节)和指定 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。如果未配置此语句,则用于 SA 生存期的千字节数不受限制。

范围:层次结构级别的 64 到 4,294,967,294 KB [edit security ipsec proposal ipsec-proposal-name]

配置远程 IKE ID

默认情况下,从对等方收到的 IKE ID 将使用为 IKE 网关配置的 IP 地址进行验证。在某些网络设置中,从对等方收到的 IKE ID(IKE ID 可以是 IPv4 或 IPv6 地址、电子邮件 ID、完全限定域名 (FQDN) 或可分辨名称)与设备上配置的 IKE 网关不匹配。这可能会导致第 1 阶段验证失败。

要配置 IKE ID,请执行以下步骤:

  1. 在设置的安全 IKE 网关网关名称层次结构中配置远程标识语句

    级别以匹配从对等方接收的 IKE ID。IKE ID 值可以是 IPv4 地址或 IPv6 地址、电子邮件 ID、FQDN 或可分辨名称。
  2. 在对等设备上,确保 IKE ID 与设备上配置的远程身份相同。如果对等设备是 Junos OS 设备,请在设置的安全 IKE 网关网关名称层次结构级别配置本地标识语句。IKE ID 值可以是 IPv4 地址或 IPv6 地址、电子邮件 ID、FQDN 或可分辨名称。