为 ES PIC 上的 IPsec 配置安全关联
要使用 IPsec 安全服务,请在主机之间创建 SA 。SA 是一种单工连接,允许两台主机通过 IPsec 安全地相互通信。您可以配置两种类型的 SA:
手动 - 无需协商;所有值(包括键)都是静态的,并在配置中指定。因此,每个对等方必须具有相同的配置选项才能进行通信。有关如何配置手动 SA 的信息,请参阅 为 ES PIC 配置手动 IPsec 安全关联。
动态 — 指定要与隧道对等方协商的建议。密钥作为协商的一部分生成,因此不需要在配置中指定。动态 SA 包含一个或多个 提议 语句,允许您确定要与对等方协商的协议和算法列表的优先级。有关如何配置动态 SA 的信息,请参阅 将配置的安全关联与逻辑接口关联。
注意:如果未在 [编辑安全 ipsec] 层次结构级别配置边界网关协议 (BGP) 协议部分中引用的 SA 名称,Junos OS 不会执行提交检查。
建议您为每个 ES 物理接口卡 (PIC) 配置不超过 512 个动态安全关联。
要为 ES PIC 配置 IPsec 的 SA,请在 [编辑安全 IPsec] 层次结构级别包含安全关联语句:
[edit security ipsec] security-associationsa-name;
您可以在 [编辑服务 ipsec-vpn 规则 rule-name 术语 term-name 然后动态]、 [编辑服务 ipsec-vpn ike] 和 [编辑服务 ipsec-vpn ipsec] 层次结构级别为 AS 和多服务 PIC 配置动态 SA。
有关详细信息,请参阅 Junos OS 路由设备服务接口库的“IPsec 服务配置准则”一章。
为 ES PIC 的 IPsec 配置 SA 的任务包括:
配置 SA 的说明
要指定 IPsec SA 的说明,请在编辑安全 IPsec 安全关联 sa-name] 层次结构级别包括说明语句:
[edit security ipsec security-association sa-name] descriptiondescription;
配置 IPsec 传输模式
在 传输模式下,IP 数据包的数据部分已加密,但 IP 报头未加密。仅当通信终结点和加密终结点相同时,才能使用传输模式。为受保护主机提供加密和解密服务的虚拟专用网络 (VPN) 网关不能对受保护的 VPN 通信使用传输模式。您可以配置手动 SA,并且必须在 SA 的两端配置静态值。
使用传输模式时,Junos OS 支持手动 SA 的 BGP 和 OSPFv3。
要为传输模式配置 IPsec 安全性,请在编辑安全 IPsec 安全关联 sa-name] 层次结构级别包括 mode 语句和传输选项:
[edit security ipsec security-association sa-name] mode transport;
要应用 隧道模式,请在传输模式下配置手动 SA,然后在 [编辑协议 bgp] 层次结构级别按名称引用 SA,以保护与给定对等方的会话。
您可以将 BGP 配置为通过加密隧道建立对等关系。
配置 IPsec 隧道模式
当您使用带有 IKE 的预共享密钥对等方进行身份验证,或使用带有 IKE 的数字证书对等方进行身份验证时,可以使用隧道模式。
使用预共享密钥时,需要手动配置预共享密钥,该密钥必须与其对等方的密钥匹配。使用数字证书,每个路由器都可以通过证书颁发机构 (CA) 动态或手动注册。建立隧道后,将通过 IKE 动态获取用于 IPsec 的公钥,并根据 CA 证书进行验证。这样可以避免在拓扑中的路由器上手动配置密钥。将新路由器添加到拓扑不需要对现有路由器进行任何安全配置更改。
要在隧道模式下配置 IPsec,请在编辑安全 IPsec 安全关联 sa-name] 层次结构级别包括带有隧道选项的 mode 语句:
[edit security ipsec security-association sa-name] mode tunnel;
Junos OS 在传输模式下同时支持 BGP 和 OSPFv3。
要启用隧道模式,请按照以下部分中的步骤操作: