在此页面上
配置安全关联
配置安全关联
第一个 IPsec 配置步骤是为 IPsec 连接选择一种安全关联 (SA) 类型。您必须静态配置手动 SA 的所有规范,但在配置 IKE 动态 SA 时可以依赖某些默认值。若要配置安全关联,请参阅以下部分。
配置手动 SA
在 ES PIC 上,您可以在层次结构级别配置手动安全关联 [edit security ipsec security-association name] 。包括您对身份验证、加密、方向、模式、协议和 SPI 的选择。请确保在远程 IPsec 网关上以完全相同的方式配置这些选项。
[edit security]
ipsec {
security-association sa-name {
description description;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi auxiliary-spi;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
mode (tunnel | transport);
}
}
在 AS 和多服务 PIC 上,您可以在层次结构级别配置 [edit services ipsec-vpn rule rule-name] 手动安全关联。包括您对身份验证、加密、方向、协议和 SPI 的选择。请确保在远程 IPsec 网关上以完全相同的方式配置这些选项。
[edit services ipsec-vpn]
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi spi-value;
encryption {
algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
key (ascii-text key | hexadecimal key);
}
protocol (ah | bundle | esp);
spi spi-value;
}
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
配置 IKE 动态 SA
在 ES PIC 上,您可以在和[edit security ipsec] 层次结构级别配置 [edit security ike] IKE 动态 SA。包括您对 IKE 策略和建议的选择,其中包括身份验证算法、身份验证方法、Diffie-Hellman 组、加密、IKE 模式和预共享密钥的选项。IKE 策略必须使用 IPsec 隧道远程端的 IP 地址作为策略名称。此外,还包括您对 IPsec 策略和建议的选择,其中包括身份验证、加密、协议、完全向前保密 (PFS) 和 IPsec 模式的选项。请确保在远程 IPsec 网关上以完全相同的方式配置这些选项。
[edit security]
ike {
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 |sha-256 |sha-384);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
policy ike-peer-address {
description description;
encoding (binary | pem);
identity identity-name;
local-certificate certificate-filename;
local-key-pair private-public-key-file;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
}
}
ipsec {
proposal ipsec-proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy ipsec-policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
security-association sa-name {
description description;
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}
mode (tunnel | transport);
}
}
在 AS 和多服务 PIC 上,您可以在 、 [edit services ipsec-vpn ipsec]和[edit services ipsec-vpn rule rule-name] 层次结构级别配置 [edit services ipsec-vpn ike]IKE 动态安全关联。包括您对 IKE 策略和建议的选择,其中包括身份验证算法、身份验证方法、Diffie-Hellman 组、加密、IKE 模式和预共享密钥的选项。此外,还包括你的 IPsec 策略和建议选项,其中包括身份验证、加密、协议、PFS 和 IPsec 模式的选项。请确保在远程 IPsec 网关上以完全相同的方式配置这些选项。
如果选择不在 AS 和多服务 PIC 上显式配置 IKE 和 IPsec 策略及建议,则配置可以默认为某些预设值。这些默认值如 表 1 所示。
IKE 政策声明 |
默认值 |
|---|---|
模式 |
主要 |
建议 |
违约 |
| IKE 提案声明 | 默认值 |
认证算法 |
SHA1 |
验证方法 |
预共享密钥 |
DH-集团 |
组 2 |
加密算法 |
3DES-CBC |
生存期-秒 |
3600(秒) |
| IPsec 策略声明 | 默认值 |
完全向前保密密钥 |
组 2 |
建议 |
违约 |
| IPsec 提议声明 | 默认值 |
认证算法 |
HMAC-SHA1-96 |
加密算法 |
3DES-CBC |
生存期-秒 |
28800 (秒) |
协议 |
尤其是 |
如果使用在 AS 和多服务 PIC 中预设的默认 IKE 和 IPsec 策略及提议值,则必须显式配置 IKE 策略并包含预共享密钥。这是因为 预共享密钥 身份验证方法是默认 IKE 提议中的预设值之一。
从 Junos OS 14.2 版开始,在瞻博网络 MX 系列路由器与 Cisco ASA 设备互操作的环境中,IKE 安全关联 (SA) 和 IPsec SA 会立即在 Cisco ASA 设备上删除,但会保留在 MX 系列路由器上。因此,当流量从 MX 系列路由器或 Cisco ASA 设备启动时,MX 路由器上会发生 100% 的流量丢失。在 MX 系列路由器上重新启动服务 PIC 或在 MX 系列路由器上重新启动线卡或在 Cisco ASA 设备上执行关闭/不关闭命令序列或速度设置更改时,会出现此流量丢失过多的问题。若要防止在此类部署中保留 IKE 和 IPsec SA 的问题,必须分别输入clear ipsec security-associationsclear ike security-associations和命令手动删除 IPsec 和 IKE SA。
如果您决定手动配置值,以下信息将显示 AS 和多服务 PIC 上动态 IKE SA 的完整语句层次结构和选项:
[edit services ipsec-vpn]
ike {
proposal proposal-name {
authentication-algorithm (md5 | sha1 | sha256);
authentication-method (pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
}
policy policy-name {
description description;
local-id {
ipv4_addr [ values ];
key_id [ values ];
}
local-certificate certificate-id-name;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
remote-id {
ipv4_addr [ values ];
key_id [ values ];
}
}
}
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
description description;
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
}
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
dynamic {
ike-policy policy-name;
ipsec-policy policy-name;
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。