Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec 规则和规则集

示例:配置IKE动态 SLA

此示例将展示如何IKE动态 SLA,并包含以下部分。

要求

此示例具有以下硬件和软件组件:

  • 四M Series、MX 系列或 T Series路由器,其中安装了多服务接口。

  • Junos OS 9.4 或更高版本。

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述和拓扑

安全关联 (SA) 是一种简单连接,允许两个主机通过 IPsec 相互安全通信。

动态 SLA 最适合大型、地理位置分散的网络,其中手动分配、维护和跟踪密钥是艰难的任务。动态 SLA 配置了一组由安全网关协商提议。密钥作为协商的一部分生成,不需要在配置中指定。动态 SA 包括一个或多个提议,允许您为要与对等方协商的协议和算法列表确定优先级。

拓扑

图 1 显示了一个 IPsec 拓扑,其中包含一组四个路由器。此配置要求路由器 2 和 3 使用动态 SA、增强型身份验证和加密IKE来建立 IPsec 隧道。路由器 1 和 4 提供基本连接,用于验证 IPsec 隧道是否正常运行。

图 1:IKE动态 SLA IKE Dynamic SAs
注意:

未指定多服务 PIC 上的 IKE 提议、IPsec 提议和 IPsec 策略时,Junos OS 将默认为最高级别的加密和身份验证。因此,默认认证协议为 ESP,默认认证模式为 HMAC-SHA1-96,默认加密模式为 3DES-CBC。

配置

要配置IKE SA,请执行以下任务:

注意:

此示例中显示的接口类型仅供指示。例如,您可以使用 so- 接口 代替 和 ge- sp- ms-, 而 使用 。

配置路由器 1

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到路由器 1 的 [edit] 层次结构级别的 CLI 中。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要配置路由器 1 以OSPF 2 进行安全连接:

  1. 配置以太网接口和回环接口。

  2. 指定OSPF区域,并将接口与OSPF区域。

  3. 配置路由器 ID。

  4. 提交配置。

结果

在配置模式下,输入 show interfaces、 和 命令以确认 show protocols ospf您的 show routing-options 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置

配置路由器 2

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到路由器 2 的 [edit] 层次结构级别中的 CLI 中。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要配置OSPF 2 上的安全连接和 IPsec 隧道参数:

  1. 配置接口属性。在此步骤中,您将配置两个以太网接口(ge-1/0/0 和 ge-1/0/1)、一个回环接口和一个多服务接口 (ms-1/2/0)。

  2. 指定OSPF区域,并将接口与OSPF区域。

  3. 配置路由器 ID。

  4. 配置 IPsec 规则。在此步骤中,您将配置 IPsec 规则,指定手动 SA 参数,例如远程网关地址、身份验证和加密属性等。

    注意:

    默认情况下,Junos OS使用 IKE 1.0 版策略。Junos OS 11.4 和更高版本还IKE策略版本 2.0,您必须在 中配置该策略 [edit services ipsec-vpn ike policy policy-name pre-shared]

  5. 配置下一跳跃式服务集,指定本地网关地址,并将 IPsec VPN 规则与服务集关联。

  6. 提交配置。

结果

在配置模式下,输入 show interfaces、 和 show protocols ospf命令以确认 show routing-options您的 show services 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置

配置路由器 3

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到路由器 3 的 [edit] 层次结构级别的 CLI 中。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要配置OSPF 3 上的安全连接和 IPsec 隧道参数:

  1. 配置接口属性。在此步骤中,您将配置两个以太网接口(ge-1/0/0 和 ge-1/0/1)、一个回环接口和一个多服务接口 (ms-1/2/0)。

  2. 指定OSPF区域,并将接口与OSPF区域。

  3. 配置路由器 ID。

  4. 配置 IPsec 规则。在此步骤中,您将配置 IPsec 规则并指定手动 SA 参数,例如远程网关地址、身份验证和加密属性等。

  5. 配置下一跳跃式服务集,指定本地网关地址,并将 IPsec VPN 规则与服务集关联。

  6. 提交配置。

结果

在配置模式下,输入 show interfaces、 和 show protocols ospf命令以确认 show routing-options您的 show services 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置

配置路由器 4

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到路由器 4 的 [edit] 层次结构级别中的 CLI 中。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要设置与OSPF 4 的路由连接

  1. 配置接口。在此步骤中,您将配置以太网接口 (ge-1/0/1) 和环路接口。

  2. 指定OSPF区域,并将接口与OSPF区域。

  3. 配置路由器 ID。

结果

在配置模式下,输入 show interfaces、 和 命令以确认 show protocols ospf您的 show routing-options 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置

验证

验证您对路由器 1 的工作

目的

验证路由器 1 是否正常运行。

行动

在操作模式下,输入 ping 10.1.56.2 命令至路由器 4 上的 ge-0/0/0 接口,以通过 IPsec 隧道发送流量

意义

输出显示路由器 1 能够通过 IPsec 隧道到达路由器 4。

验证您对路由器 2 的工作

目的

验证IKE SA 协商是否成功。

行动

在操作模式下,输入 show services ipsec-vpn ike security-associations 命令。

要验证 IPsec 安全关联是否处于活动状态,请发出 show services ipsec-vpn ipsec security-associations detail 命令。请注意,SA 包含多服务 PIC 中固有的默认设置,例如协议的 ESP 和认证算法的 HMAC-SHA1-96。

在操作模式下,输入 show services ipsec-vpn ipsec security-associations detail 命令。

要验证信息流是否通过双向 IPsec 隧道,请发出 show services ipsec-vpn statistics 命令:

在操作模式下,输入 show services ipsec-vpn statistics 命令。

意义

命令 show services ipsec-vpn ipsec security-associations detail 输出显示您配置的 SA 属性。

命令 show services ipsec-vpn ipsec statistics 输出显示通过 IPsec 隧道的流量。

验证您从事路由器的工作 3

目的

验证路由器 3 IKE SA 协商是否成功。

行动

在操作模式下,输入 show services ipsec-vpn ike security-associations 命令。要成功,路由器 3 上的 SA 必须包含您于路由器 2 上指定的相同设置。

要验证 IPsec SA 是否处于活动状态,请发出 show services ipsec-vpn ipsec security-associations detail 命令。要成功,路由器 3 上的 SA 必须包含您于路由器 2 上指定的相同设置。

在操作模式下,输入 show services ipsec-vpn ipsec security-associations detail 命令。

要验证信息流是否通过双向 IPsec 隧道,请发出 show services ipsec-vpn statistics 命令:

在操作模式下,输入 show services ipsec-vpn ike security-associations 命令。

意义

命令 show services ipsec-vpn ipsec security-associations detail 输出显示您配置的 SA 属性。

命令 show services ipsec-vpn ipsec statistics 输出显示通过 IPsec 隧道的流量。

验证您从事路由器的工作 4

目的

验证协议 SA IKE是否成功。

行动

在操作模式下,输入 ping 10.1.12.2 命令至路由器 1 上的 ge-0/0/0 接口,以通过 IPsec 隧道发送流量。

要确认信息流通过 IPsec traceroute 隧道,请发出命令至路由器 1 上的 ge-0/0/0 接口。请注意,路径中未引用路由器 2 和 3 之间的物理接口;信息流通过路由器 3 上的自适应服务 IPsec 内部接口进入 IPsec 隧道,经过路由器 2 上的环路接口,在路由器 1 上的 ge-0/0/0 接口结束。

在操作模式下,输入 traceroute 10.1.12.2

意义

输出 ping 10.1.12.2 显示路由器 4 能够通过 IPsec 隧道到达路由器 1。

输出 traceroute 10.1.12.2 显示流量通过 IPsec 隧道。

配置 IPsec 规则

要配置 IPsec 规则,请包含 rule 语句,并指定层级规则 [edit services ipsec-vpn] 名称:

每个 IPsec 规则都由一组术语组成,类似于防火墙过滤器。

术语由以下内容组成:

  • from 语句 — 指定包括和排除的匹配条件和应用程序。

  • then 语句 — 指定由路由器软件执行的操作和操作修改器。

以下部分介绍如何配置 IPsec 规则的组件:

配置 IPsec 规则的匹配方向

每个规则都必须包含一 match-direction 个语句,用于指定对接口的输入或输出侧应用匹配。要配置应用匹配的位置,请包含 match-direction (input | output) 层级的 [edit services ipsec-vpn rule rule-name] 语句:

注意:

ACX 系列路由器不支持 match-direction 作为 output

匹配方向用于信息流通过 AS 或多服务 PIC。将数据包发送至 PIC 时,方向信息将随 PIC 一起传输。

使用接口服务集时,数据包方向由数据包是否进入或离开应用服务集的接口来确定。

使用下一跳跃服务集时,数据包方向由用于将数据包路由至路由器或多服务 PIC AS确定。如果使用内部接口来路由数据包,则数据包方向为输入。如果外部接口用于将数据包引导至 PIC,则数据包方向为输出。

在 AS 或多服务 PIC 上,执行流查找。如果未找到流,将执行规则处理。服务集内的所有规则都被视为。在规则处理期间,将数据包方向与规则方向进行比较。仅考虑具有与数据包方向匹配的方向信息的规则。

在 IPsec 规则中配置匹配条件

要配置 IPsec 规则中的匹配条件,请包含 from 层级的 [edit services ipsec-vpn rule rule-name term term-name] 语句:

您可以使用源地址或目标地址作为匹配条件,其使用方式与配置防火墙过滤器相同;有关详细信息,请参阅 Junos OS 协议库

IPsec 服务同时支持 IPv4 和 IPv6 地址格式。如果不特别配置源地址或目标地址,则使用 0.0.0.0/0 默认值 (IPv4 ANY)。要使用 IPv6 ANY (0::0/128) 作为源地址或目标地址,必须显式配置。

注意:

ACX 系列上的 IPsec 服务支持 IPv4 地址格式。如果不特别配置源地址或目标地址,则使用 0.0.0.0/0 默认值 (IPv4 ANY)。

仅对于下一跳跃式服务集 ipsec-inside-interface ,该语句允许您为由于此匹配条件建立的隧道分配逻辑接口。可在 inside-service-interface 层次结构级别配置的 [edit services service-set name next-hop-service] .1 .2 语句允许您将 接口指定为 接口内外部接口。但是,您可以使用 语句配置多个自适应服务逻辑 service-domain inside 接口,并使用其中一个来配置 ipsec-inside-interface 语句。

标准Junos OS评估在语句中配置 from 的标准。 ipsec-inside-interface 0.0.0.0/0 如果在同一个下一跳式服务集内配置了多个链路类型隧道,则当所有隧道的源地址和目标地址为 (ANY-ANY) 时,该值使规则查找模块能够区分特定隧道与其他隧道。

注意:

配置 语句时 ipsec-inside-interface ,将不支持接口式服务集。

特殊情况由包含"任意"匹配条件(通常是由于省略 from 该语句)的术语提供。如果隧道中存在任意匹配,则不需要流,因为此隧道内的所有流量都使用相同的安全关联 (SA) 和数据包选择器,不会发挥重大作用。因此,这些隧道将使用基于数据包的 IPsec。此策略节省了 PIC 上的某些流资源,可用于需要基于流量的服务的其他隧道。

以下配置示例显示了 在 中无 语句的任何通道 from 配置 term-1。语句中缺少选择 from 器将会导致基于数据包的 IPsec 服务。

无流 IPsec 服务可提供给具有任意匹配的链路类型隧道,以及专用和共享模式下具有任意匹配的动态隧道。

对于链路类型隧道,服务集内支持无流和基于流的 IPsec 混合使用。 from 如果服务集包括语句中具有任意匹配某些术语和带选择器的一些术语,则为任意任意隧道提供基于数据包的服务,为具有选择器的其他隧道提供基于流的服务。

对于非链路类型隧道,如果服务集同时包含任意术语和基于选择器的术语,则所有隧道均会提供基于流的服务。

在 IPsec 规则中配置操作

要配置 IPsec 规则中的操作,请包含 then 层级的 [edit services ipsec-vpn rule rule-name term term-name] 语句:

主要 IPsec 操作是配置动态或手动 SA:

  • 您配置动态 SA 时dynamic,您可以在 层次结构级别包含 [edit services ipsec-vpn rule rule-name term term-name then] 语句,并引用在 和 层次结构级别配置[edit services ipsec-vpn ipsec][edit services ipsec-vpn ike]的策略。

  • 您可将 语句包括在 层次结构级别,以配置手动 [edit services ipsec-vpn rule rule-name term term-name then] SAmanual

您可以配置以下附加属性:

启用 IPsec 数据包分片

要启用 IPsec 隧道中 IP 版本 4 (IPv4) 数据包的clear-dont-fragment-bit[edit services ipsec-vpn rule rule-name term term-name then]分段,请包含 层级的 语句:

无论数据包 clear-dont-fragment-bit 大小如何,设置语句将清除数据包标头中的"不分段 "(DF) 位。如果数据包大小超过隧道的 最大传输单元 (MTU) 值,则数据包在封装之前先分片。对于 IPsec 隧道,无论MTU设置如何,默认 MTU 值为 1500。

配置不工作对等方检测的目标地址

要指定 IPsec 流量定向到的远程地址, remote-gateway 请包含层级的 [edit services ipsec-vpn rule rule-name term term-name then] 语句:

要指定备份远程地址,请包含 backup-remote-gateway 层级的 [edit services ipsec-vpn rule rule-name term term-name then] 语句:

这两种语句同时支持 IPv4 和 IPv6 地址格式。

配置语句将 backup-remote-gateway 启用不工作对等方检测 (DPD) 协议,用于监控隧道状态和远程对等方可用性。当 语句定义的主 remote-gateway 通道处于活动状态时,备份隧道将处于待机模式。如果 DPD 协议确定主远程网关地址不再可用,将为备份地址建立新隧道。

如果在定义的 10 秒间隔内没有来自对等方的传入信息流,路由器将检测隧道为非活动状态。全局计时器每隔 10 秒轮询所有隧道,自适应服务 (AS) 或多服务物理接口卡 (PIC) 会发送一条消息列出任何无效隧道。如果隧道无效,路由器将采取以下步骤故障切换至备份地址:

  1. 自适应服务消息会触发 DPD 协议,以向对等方发送 hello 消息。

  2. 如果未收到确认,则以 2 秒的间隔发送两次重试,随后隧道将被宣布无效。

  3. 如果隧道被宣布无效,或者存在 IPsec 第 1 阶段协商超时,则发生故障切换。主通道处于待机模式,备份通道变为活动状态。

  4. 如果与备份隧道的协商时间过长,路由器将切换回主隧道。如果两个对等方出现故障,则尝试六次故障切换。然后,由于主隧道处于活动状态,备份处于待机模式,因此可停止故障切换并恢复到原始配置。

您也可在 层级包含 语句,启用 DPD hello initiate-dead-peer-detection [edit services ipsec-vpn rule rule-name term term-name then] 消息触发,而不配置备份远程网关:

此外,对于 IKEv1 SLA interval threshold,您可以在使用 语句时dead-peer-detection在 语句下设置和initiate-dead-peer-detection选项。从Junos OS版本17.2R1,和intervalthreshold选项也适用于 IKEv2 SLA。在 Junos OS 17.1 interval threshold 和早期版本中,和 选项不适用于使用默认值的 IKEv2 A。间隔是对等方在发送 DPD 请求数据包之前等待其目标对等方发送信息流的时间量,阈值是对等方认为不可用之前要发送的最大成功 DPD 请求数。

监控行为与语句描述的相同 backup-remote-gateway 。此配置允许路由器在不存在备份 IPsec 网关时启动 DPD hello,并清理 IKE 和 IPsec SLA(如果IKE对等方不可访问)。

如果 DPD 协议确定主远程网关地址不再可用,将为备份地址建立新隧道。 initiate-dead-peer-detection 但是,在配置没有备份远程网关地址且 DPD 协议确定主远程网关地址不可访问时,隧道将宣布无效,IKE 和 IPsec SLA 将清理。

有关 DPD 协议的信息,请参阅 RFC 3706,一种基于流量的不工作互联网密钥交换 (IKE)对等方检测方法

配置或禁用 IPsec 防重播

要配置 IPsec 反replay 窗口的大小, anti-replay-window-size 请包含 层级的 [edit services ipsec-vpn rule rule-name term term-name then] 语句:

anti-replay-window-size 可以使用范围为 64 到 4096 位的值。默认值为 AS 个 PC 64 位,多服务 PICS 和 DPC 128 位。AS 个 PC 可支持 1024 位的最大重放窗口大小,而多服务 PIC 和 DPC 可支持 4096 位的最大重放窗口大小。当软件提交 IPsec 配置时,密钥管理进程 (kmd) 无法区分服务接口类型。因此,如果每个 PIC 的最大反replay 窗口大小超过 1024 AS,则提交将成功,并且不会生成错误消息。但是,软件在内部将 AS 的反replay 窗口大小设置到 1024 位 anti-replay-window-size ,即使 的已配置值更大。

要禁用 IPsec 反replay 功能,请包含 no-anti-replay 层级的 [edit services ipsec-vpn rule rule-name term term-name then] 语句:

默认情况下,反replay 服务已启用。偶尔这可能会导致与其他供应商的设备出现互操作性问题。

启用系统日志消息

在系统记录设备中记录警报时,请包含 syslog 层级的 [edit services ipsec-vpn rule rule-name term term-name then] 语句:

指定 IPsec MTU的

要配置 IPsec tunnel-mtu 最大传输单元 (MTU) 值,请包含 层级的 [edit services ipsec-vpn rule rule-name term term-name then] 语句:

注意:

设置 tunnel-mtu 是唯一需要为 IPsec 隧道配置 MTU值的位置。不支持在 mtu 层级 [edit interfaces sp-fpc/pic/port unit logical-unit-number family inet] 包含设置。

配置 IPsec 规则集

rule-set 语句定义了 IPsec 规则的集合,可确定路由器软件对数据流中的数据包执行哪些操作。通过指定规则名称并配置术语,可定义每个规则。然后,您指定规则的顺序 rule-set [edit services ipsec-vpn] rule ,具体包括层级的 语句以及每个规则的语句:

路由器软件按在配置中指定的顺序处理规则。如果规则中的术语与数据包匹配,则路由器将执行相应的操作,并且规则处理停止。如果规则中的术语与数据包匹配,则处理将继续到规则集的下一个规则。如果没有与数据包匹配的规则,则默认情况下会丢弃该数据包。

版本历史记录表
释放
描述
17.2R1
从Junos OS版本17.2R1,间隔和阈值选项也适用于 IKEv2 SLA。