Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置基于策略的 VPN

此示例说明如何配置基于策略的 IPsec VPN 以允许在两个站点之间安全传输数据。

要求

此示例使用以下硬件:

  • 任何 SRX 系列设备

    • 在 Junos OS 版本 20.4R1 上使用 vSRX 更新并重新验证。
注:

您是否有兴趣亲身体验本指南中介绍的主题和操作?立即访问 瞻博网络虚拟实验室中基于 IPsec 策略的演示 并保留您的免费沙盒!您将找到安全类别中基于 IPsec VPN 策略的沙盒。

开始之前,请阅读 IPsec 概述

概述

在此示例中,您可在 SRX1 和 SRX2 上配置基于策略的 VPN。Host1 和 Host2 使用 VPN 在两个主机之间通过互联网安全地发送流量。

图 1 显示了基于策略的 VPN 拓扑的示例。

图 1: 基于策略的 VPN 拓扑 基于策略的 VPN 拓扑

IKE IPsec 隧道协商分两个阶段进行。在第 1 阶段,参与方建立一个安全通道,用于协商 IPsec 安全关联 (SA)。在第 2 阶段,参与方协商 IPsec SA 以验证通过隧道的流量。就像隧道协商有两个阶段一样,隧道配置有两个阶段。

在此示例中,您可配置接口、IPv4 默认路由和安全区域。然后配置 IKE 第 1 阶段、IPsec 第 2 阶段、安全策略和 TCP-MSS 参数。查看 表 1 详情 表 5

表 1: SRX1 的接口、静态路由和安全区域信息

功能

姓名

配置参数

接口

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

安全区域

信任

  • ge-0/0/0.0 接口绑定到此区域。

 

不信任

  • ge-0/0/1.0 接口绑定到此区域。

静态路由

0.0.0.0/0

  • 下一跳跃是 172.16.13.2。

表 2: IKE 第 1 阶段配置参数

功能

姓名

配置参数

建议

标准

  • 身份验证方法:预共享密钥

策略

IKE-POL

  • 模式:主要

  • 提议参考:标准

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ascii-text

网关

IKE-GW

  • IKE 策略参考:IKE-POL

  • 外部接口:ge-0/0/1

  • 网关地址:172.16.23.1

表 3: IPsec 第 2 阶段配置参数

功能

姓名

配置参数

建议

标准

  • 使用默认配置

策略

IPSEC-POL

  • 提议参考:标准

VPN

VPN-to-Host2

  • IKE 网关参考:IKE-GW

  • IPsec 策略参考:IPSEC-POL

  • 立即建立隧道
表 4: 安全策略配置参数

目的

姓名

配置参数

此安全策略允许从信任区域到不信任区域的流量。

VPN-OUT

  • 匹配标准:

    • 源地址 Host1-Net

    • 目标地址 Host2-Net

    • 应用程序任意

  • 允许操作:隧道 ipsec-vpn VPN 到主机2

此安全策略允许从不信任区域到信任区域的流量。

VPN-IN

  • 匹配标准:

    • 源地址 Host2-Net

    • 目标地址 Host1-Net

    • 应用程序任意

  • 允许操作:隧道 ipsec-vpn VPN 到主机2

此安全策略允许从信任区域到不信任区域的所有流量。

您必须先将 VPN-OUT 策略置于默认许可安全策略之前。Junos OS 执行从列表顶部开始的安全策略查找。如果默认许可策略出现在 VPN-OUT 策略之前,则来自信任区域的所有流量都与默认许可策略匹配且允许。因此,任何流量都不会与 VPN-OUT 策略匹配。

默认许可

  • 匹配标准:

    • 源地址任意

    • 源目标任意

    • 应用程序任意

  • 行动:许可证

表 5: TCP-MSS 配置参数

目的

配置参数

TCP-MSS 作为 TCP 三向握手的一部分进行协商,并限制 TCP 分段的最大大小,以便更好地适应网络上的最大传输单元 (MTU) 限制。这对 VPN 流量尤为重要,因为 IPsec 封装开销以及 IP 和帧开销会导致生成的封装安全有效负载 (ESP) 数据包超过物理接口的 MTU,从而导致分片。分片可增加对带宽和设备资源的使用。

我们建议将 1350 作为大多数基于以太网的网络的起点,MTU 为 1500 或更高版本。您可能需要试验不同的 TCP-MSS 值以获得最佳性能。例如,如果路径中的任何设备的 MTU 较低,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。

MSS 值:1350

配置

配置基本网络和安全区域信息

CLI 快速配置

要快速为 SRX1 配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南

要配置接口、静态路由和安全区域信息:

  1. 配置接口。

  2. 配置静态路由。

  3. 将面向互联网的接口分配给不信任安全区域。

  4. 为不信任安全区域指定允许的系统服务。

  5. 将 Host1 面向接口分配给信任安全区域。

  6. 为信任安全区域指定允许的系统服务。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security zones 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

配置 IKE

CLI 快速配置

要快速为 SRX1 配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南

要配置 IKE:

  1. 创建 IKE 提议。

  2. 定义 IKE 提议身份验证方法。

  3. 创建 IKE 策略。

  4. 设置 IKE 策略模式。

  5. 指定对 IKE 提议的参考。

  6. 定义 IKE 策略身份验证方法。

  7. 创建 IKE 网关并定义其外部接口。

  8. 定义 IKE 网关地址。

  9. 定义 IKE 策略参考。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

配置 IPsec

CLI 快速配置

要快速为 SRX1 配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南

要配置 IPsec:

  1. 创建 IPsec 提议。

  2. 创建 IPsec 策略。

  3. 指定 IPsec 提议参考。

  4. 指定 IKE 网关。

  5. 指定 IPsec 策略。

  6. 配置隧道以立即建立。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

配置安全策略

CLI 快速配置

要快速为 SRX1 配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南

要配置安全策略,

  1. 为将在安全策略中使用的网络创建地址簿条目。

  2. 创建安全策略,以匹配不信任区域中从信任区域的 Host1 到 Host2 的流量。

  3. 创建安全策略以允许从信任区域到不信任区域的所有其他互联网流量。

  4. 创建安全策略以允许从不信任区域的 Host2 到信任区域中的 Host1 的流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

配置 TCP-MSS

CLI 快速配置

要快速为 SRX1 配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要配置 TCP-MSS 信息:

  1. 配置 TCP-MSS 信息。

结果

在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

配置 SRX2

CLI 快速配置

为参考,提供了 SRX2 的配置。

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证 IKE 状态

目的

验证 IKE 状态。

行动

在操作模式下,输入 show security ike security-associations 命令。从命令获取索引号后,请使用 命令 show security ike security-associations index index_number detail

意义

命令 show security ike security-associations 列出了所有活动 IKE 第 1 阶段安全关联 (SA)。如果未列出 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 — 此值对于每个 IKE SA 都是独一无二的,您可以在 命令中 show security ike security-associations index detail 使用该值获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确。

  • 省/市/自治区

    • UP — 已建立第 1 阶段 SA。

    • DOWN — 建立第 1 阶段 SA 存在问题。

  • 模式 — 验证是否使用了正确的模式。

验证配置中以下内容是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

命令 show security ike security-associations index 1859361 detail 列出了有关与索引数1859361的安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计信息(可用于验证流量是否在两个方向上正常流动)

  • 发起方和响应方角色信息

    最好使用响应方角色对等方执行故障排除。

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证 IPsec 阶段 2 状态

目的

验证 IPsec 第 2 阶段状态。

行动

在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号后,请使用 命令 show security ipsec security-associations index index_number detail

意义

命令的 show security ipsec security-associations 输出列出了以下信息:

  • ID 编号为 2。将此值与 命令一 show security ipsec security-associations index 起使用,获取有关此特定 SA 的更多信息。

  • 有一个使用端口 500 的 IPsec SA 对,表示未实施 NAT 遍历。(NAT 遍历使用端口 4500 或其他随机高编号端口。)

  • 两个方向均显示 SPI、生存期(以秒为单位)和使用限制(或以 KB 为生命大小)。921/unlim 值表示第 2 阶段生存期将在 921 秒内过期,并且未指定生命大小,表示这是无限的。第 2 阶段的生存期可能与第 1 阶段的生存期不同,因为 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,未为此 SA 启用 VPN 监控。如果启用了 VPN 监控,将列出 U(上)或 D(下)。

  • 虚拟系统 (vsys) 是根系统,它始终列出 0。

命令的 show security ipsec security-associations index 2 detail 输出列出了以下信息:

  • 本地身份和远程身份构成 SA 的代理 ID。

    代理 ID 不匹配是第 2 阶段故障的最常见原因之一。对于基于策略的 VPN,代理 ID 来自安全策略。本地地址和远程地址来自地址簿条目,而服务则来自为策略配置的应用程序。如果第 2 阶段因代理 ID 不匹配而失败,则可以使用策略确认配置了哪些地址簿条目。验证地址是否与所发送的信息匹配。检查服务以确保端口与所发送的信息匹配。

测试通过 VPN 的流量

目的

验证通过 VPN 的信息流。

行动

ping使用 Host1 设备的命令测试到 Host2 的信息流。

意义

ping如果命令从 Host1 失败,则可能存在路由、安全策略、终端主机或 ESP 数据包的加密和解密问题。

查看 IPsec 安全关联的统计信息和错误

目的

查看 IPsec 安全关联的 ESP 和认证标头计数器和错误。

行动

在操作模式下 show security ipsec statistics index index_number ,使用要查看统计信息的 VPN 的索引号输入 命令。

您也可使用 show security ipsec statistics 命令查看所有 SA 的统计信息和错误。

要清除所有 IPsec 统计信息,请使用 命令 clear security ipsec statistics

意义

如果发现 VPN 上的数据包丢失问题,可以多次运行 show security ipsec statistics 命令以确认加密和解密的数据包计数器正在递增。您还应检查其他错误计数器是否在递增。