Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置加密接口

配置加密接口

配置加密接口时,请将配置的 SA 与逻辑接口关联。此配置定义隧道,包括逻辑单元、隧道地址、最大传输单元 (MTU)、可选接口地址以及要应用于流量的 IPsec SA 的名称。要配置加密接口,请在层次结构级别包含以下语句 [edit interfaces es-fpc/pic/port unit logical-unit-number]

配置为隧道源和目标的地址是隧道外部 IP 报头中的地址。

注意:

您必须在路由器上本地配置隧道源地址,并且隧道目标地址必须是终止隧道的安全网关的有效地址。

M 系列和 T 系列路由器支持 ES 物理接口卡 (PIC)。

SA 必须是有效的隧道模式 SA。列出的接口地址和目标地址是可选的。目标地址允许用户配置静态路由来加密流量。如果静态路由使用该目标地址作为下一跃点,则流量将通过进行加密的隧道部分进行转发。

指定加密接口的安全关联名称

安全关联是定义用于加密互联网流量的协议的属性集。要配置加密接口,请通过在层次结构级别包含 ipsec-sa 语句 [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] 来指定与接口关联的 SA 名称:

有关配置安全关联的信息,请参阅 为传输 ES PIC 的流量配置过滤器

为加密接口配置 MTU

加密接口的协议 MTU 值必须始终小于默认接口 MTU 值 3900 字节;如果选择更大的值,则配置将无法提交。要设置 MTU 值,请在层次结构级别包含 mtu 语句 [edit interfaces interface-name unit logical-unit-number family inet]

有关详细信息,请参阅 路由设备的 Junos OS 网络接口库

示例:配置加密接口

将 IPsec 隧道配置为 ES PIC 上的逻辑接口。逻辑接口指定加密流量通过的隧道。该 ipsec-sa 语句将安全配置文件与接口相关联。

为通过 ES PIC 的流量配置过滤器

本节包含以下主题:

流量概述

流量配置定义必须流经隧道的流量。您可以配置出站和入站防火墙过滤器,用于识别和定向要加密的流量,并确认解密的流量参数与为给定隧道定义的流量参数匹配。出站过滤器将应用于要加密的传入流量的 LAN 或 WAN 接口。入站过滤器将应用于 ES PIC,以检查策略中是否有来自远程主机的流量。由于配置路由器以转发数据包的复杂性,因此不会执行自动检查以确保配置正确。

注意:

IPsec 的有效防火墙过滤器语句为 destination-portsource-portdestination-addressprotocol、 和 source-address

在图1中,网关A保护网络10.1.1.0/24,网关B保护网络10.2.2.0/24。网关通过 IPsec 隧道连接。有关防火墙的更多信息,请参阅《路由策略》、《防火墙过滤器》和《流量监管器用户指南》。

图 1:示例:连接安全网关 Example: IPsec Tunnel Connecting Security Gateways的 IPsec 隧道

安全网关 A 的 SA 和 ES 接口配置如下:

配置安全关联

要配置 SA,请在层次结构级别包含 security-association 语句 [edit security]

有关配置 SA 的详细信息,请参阅 路由设备的 Junos OS 管理库。有关将 SA 应用于接口的信息,请参阅147531指定加密接口的安全关联名称

配置出站流量过滤器

要配置出站流量过滤器,请在层次结构级别包含 filter 语句 [edit firewall]

有关更多信息,请参阅 《路由策略》、《防火墙过滤器和流量监管器用户指南》。

示例:配置出站流量过滤器

防火墙对出站流量的过滤器将流量引导通过所需的 IPsec 隧道,并确保隧道流量流出相应的接口(请参阅 图 1)。此处,将在安全网关 A 上创建出站防火墙过滤器;它标识要加密的流量,并将其添加到承载内部虚拟专用网络 (VPN) 流量的接口的输入端:

注意:

出站流量过滤器上的源地址、端口和协议必须与入站流量过滤器上的目标地址、端口和协议匹配。出站流量过滤器上的目标地址、端口和协议必须与入站流量过滤器上的源地址、端口和协议匹配。

应用出站流量过滤器

配置出站防火墙过滤器后,可以通过在层次结构级别包含filter[edit interfaces interface-name unit logical-unit-number family inet]语句来应用它:

示例:应用出站流量过滤器

应用出站流量过滤器。出站过滤器应用于层次结构级别的快速以太网接口[edit interfaces fe-0/0/1 unit 0 family inet]。在快速以太网接口上配置的输入过滤器 () 上与 IPsecipsec-encrypt-policy-filter 操作项 (term 1) 匹配的任何数据包都将定向到层次结构级别的 ES PIC 接口[edit interfaces es-0/1/0 unit 0 family inet]。因此,如果数据包从源地址10.1.1.0/24到达并转到目标地址10.2.2.0/24,则数据包转发引擎会将数据包定向到 ES PIC 接口,该接口配置了 manual-sa1 SA。ES PIC 接收数据包,应用 manual-sa1 SA,然后通过隧道发送数据包。

路由器必须具有到隧道端点的路由;如有必要,添加静态路由。

配置入站流量过滤器

要配置入站流量过滤器,请在层次结构级别包含 filter 语句 [edit firewall]

有关更多信息,请参阅 《路由策略》、《防火墙过滤器和流量监管器用户指南》。

示例:配置入站流量过滤器

配置入站防火墙过滤器。此过滤器执行最终 IPsec 策略检查,并在安全网关 A 上创建。策略检查确保仅接受与为此隧道配置的流量匹配的数据包。

将入站流量过滤器应用于加密接口

创建入站防火墙过滤器后,可以将其应用于 ES PIC。要将筛选器应用于 ES PIC,请在层次结构级别包含 filter 语句 [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter]

输入过滤器是应用于接收流量的过滤器的名称。有关配置示例,请参阅 示例:配置入站流量过滤器。有关防火墙过滤器的更多信息,请参阅 《路由策略》、《防火墙过滤器》和《流量监管器用户指南》。

示例:将入站流量过滤器应用于加密接口

将入站防火墙过滤器 (ipsec-decrypt-policy-filter) 应用于解密数据包以执行最终策略检查。IPsec manual-sa1 SA 在层次结构级别引用 [edit interfaces es-1/2/0 unit 0 family inet] 并解密传入数据包。

数据包转发引擎将 IPsec 数据包定向到 ES PIC。它使用数据包的安全参数索引 (SPI)、协议和目标地址来查找在其中一个 ES 接口上配置的 SA。IPsec manual-sa1 SA 在层次结构级别引用 [edit interfaces es-1/2/0 unit 0 family inet] ,用于解密传入数据包。处理数据包(解密和/或认证)时,将对解密数据包应用输入防火墙过滤器 (ipsec-decrypt-policy-filter) 以执行最终策略检查。 term1 定义解密(和验证)的流量并执行所需的策略检查。有关 term1的信息,请参阅 示例:配置入站流量过滤器

注意:

入站流量过滤器在 ES PIC 处理数据包后应用,因此解密流量定义为远程网关加密并发送到此路由器的任何流量。IKE 使用此过滤器来确定隧道所需的策略。在与远程网关协商期间使用此策略来查找匹配的 SA 配置。

为第 3 层 VPN 配置 ES 隧道接口

要为第 3 层 VPN 配置 ES 隧道接口,您需要在提供商边缘 (PE) 路由器和客户边缘 (客户边缘) 路由器上配置 ES 隧道接口。您还需要在 PE 和 客户边缘 路由器上配置 IPsec。有关为第 3 层 VPN 配置 ES 隧道的详细信息,请参阅 用于路由设备的 Junos OS VPN 库

配置 ES PIC 冗余

您可以在具有多个 ES PIC 的 M 系列和 T 系列路由器上配置 ES PIC 冗余。使用 ES PIC 冗余时,一个 ES PIC 处于活动状态,另一个 ES PIC 处于待机状态。当主 ES PIC 发生服务故障时,备份将变为活动状态,继承所有隧道和 SA,并充当 IPsec 流量的新下一跃点。在备份 ES PIC 上重建隧道不需要新的互联网密钥交换 (IKE) 协商。如果主 ES PIC 联机,它将保持待机状态,不会抢占备份。要确定哪个 PIC 当前处于活动状态,请使用 show ipsec redundancy 命令。

注意:

M 系列和 T 系列路由器支持 ES PIC 冗余。

要将 ES PIC 配置为备份,请在层次结构级别包含backup-interface[edit interfaces fpc/pic/port es-options]语句:

示例:配置 ES PIC 冗余

创建入站防火墙过滤器后,将其应用于主 ES PIC。在这里,入站防火墙过滤器 (ipsec-decrypt-policy-filter) 应用于解密数据包以执行最终策略检查。IPsec manual-sa1 SA 在层次结构级别引用 [edit interfaces es-1/2/0 unit 0 family inet] 并解密传入数据包。此示例不显示 SA 和过滤器配置。有关 SA 和过滤器配置的信息,请参阅 Junos OS 路由设备管理库路由策略、防火墙过滤器和流量监管器用户指南和示例 :配置入站流量过滤器

配置 IPsec 隧道冗余

可以通过指定备份目标地址来配置 IPsec 隧道冗余。本地路由器发送激活以确定远程站点的可访问性。当对等方不再可访问时,将建立新隧道。在故障转移期间长达 60 秒内,流量将被丢弃,而不会发送通知。 图 2 显示了 IPsec 主隧道和备份隧道。

图 2:IPsec 隧道冗余 IPsec Tunnel Redundancy

要配置 IPsec 隧道冗余,请在层次结构级别包含 backup-destination 以下语句 [edit interfaces unit logical-unit-number tunnel]

注意:

M 系列和 T 系列路由器支持隧道冗余。

主目标和备份目标必须位于不同的路由器上。

隧道必须彼此不同,并且策略必须匹配。

有关隧道的更多信息,请参阅 MX 系列路由器上的隧道接口配置概述