中心辐射型设备上的 AutoVPN |Junos OS |瞻博网络

了解 AutoVPN

AutoVPN 支持一个 IPsec VPN 聚合器（称为集线器），用作通向远程站点（称为分支）的多个隧道的单个端点。AutoVPN 允许网络管理员为当前和将来的分支配置集线器。添加或删除分支设备时，无需更改集线器的配置，从而使管理员可以灵活管理大规模网络部署。

安全隧道模式
身份验证
配置和管理
使用 PIM 的组播支持
了解 AutoVPN 限制
了解带有流量选择器的 AutoVPN

安全隧道模式

基于路由的 IPsec VPN 支持 AutoVPN。对于基于路由的 VPN，您可以配置一个安全隧道（st0）接口并将其绑定到 IPsec VPN 隧道。AutoVPN 网络中的 st0 接口可配置为以下两种模式之一：

点对点模式 — 默认情况下，在 [edit interfaces st0 unit x ] 层级配置的 st0 接口处于点对点模式。
点对多点模式 — 在此模式下，该 multipoint 选项在 AutoVPN 中心和分支的 [edit interfaces st0 unit x ] 层次结构级别上配置。中心和分支上的 st0 接口必须进行编号，并且分支上配置的 IP 地址必须存在于中枢的 st0 接口子网中。

表 1 比较了 AutoVPN 点对点和点对多点安全隧道接口模式。

表 1：AutoVPN 点对点与点对多点安全隧道模式的比较
点对点模式	点对多点模式
支持 IKEv1 或 IKEv2。	支持 IKEv1 或 IKEv2。
支持 IPv4 和 IPv6 流量。	支持 IPv4 或 IPv6。
流量选择器	动态路由协议（OSPF、OSPFv3 和 iBGP）
失效对等体检测	失效对等体检测
允许分支设备为瞻博网络防火墙或第三方设备。	仅瞻博网络防火墙支持此模式。

身份验证

AutoVPN 支持基于证书和预共享密钥的身份验证方法。

对于 AutoVPN 中心辐射型中基于证书的身份验证，可以使用 X.509 公钥基础架构（PKI）证书。在中枢上配置的组 IKE 用户类型允许指定字符串以匹配分支证书中的备用主题字段。还可以指定分支证书中主题字段的部分匹配。

我们通过以下两个选项支持 AutoVPN：

AutoVPN 种子 PSK：连接到同一网关的多个对等方使用不同的预共享密钥。
AutoVPN 共享 PSK：连接到具有相同预共享密钥的同一网关的多个对等方。

种子 PSK 不同于非种子 PSK（即相同的共享 PSK）。种子 PSK 使用主密钥为对等方生成共享 PSK。因此，每个对等方将有不同的 PSK 连接到同一网关。例如：考虑这样一个场景：具有 IKE ID user1@juniper.net 的对等方 1 和具有 IKE ID user2@juniper.net 的对等方 2 尝试连接到网关。在此场景中，配置为 HUB_GW 包含已配置 ThisIsMySecretPreSharedkey 为主密钥的网关将具有不同的 PSK，如下所示：

对等体 1 ： 79e4ea39f5c06834a3c4c031e37c6de24d46798a

对等体 2： 3db8385746f3d1e639435a882579a9f28464e5c7

这意味着，对于具有不同用户 ID 和相同主密钥的不同用户，将生成不同或唯一的预共享密钥。

您可以为自动 VPN PSK 使用或 seeded-pre-shared-key pre-shared-key ：

不同的预共享密钥：如果设置了，seeded-pre-shared-key则 VPN 网关将使用不同的 IKE 预共享密钥来对每个远程对等方进行身份验证。对等预共享密钥使用 IKE 网关中的集合master-key生成，并在对等方之间共享。
要让 VPN 网关能够使用不同的 IKE 预共享密钥（PSK）来对每个远程对等方进行身份验证，请使用新的 CLI 命令 seeded-pre-shared-key ascii-text 或 seeded-pre-shared-key hexadecimal 在层次结构级别下使用 [edit security ike policy policy_name] 。

此命令与同一层次结构下的命令互 pre-shared-key 斥。
共享/相同预共享密钥：如果未配置，则 pre-shared-key-type PSK 被视为已共享。VPN 网关使用相同的 IKE 预共享密钥来对所有远程对等方进行身份验证。
要使 VPN 网关能够使用相同的 IKE PSK 对所有远程对等方进行身份验证，请使用现有 CLI 命令 pre-sharedkey ascii-text 或 pre-shared-key hexadecimal 。

在 VPN 网关上，您可以使用层次结构级别下的[edit security ike gateway gateway_name dynamic]配置语句绕general-ikeid过 IKE ID 验证。如果配置了此选项，则在对远程对等方进行身份验证期间，VPN 网关允许任何远程 IKE ID 连接。

请参阅其他平台信息，了解如何在使用软件包运行 junos-ike IKEED 进程的防火墙中对不同 IKE 模式的 AutoVPN PSK 支持。

请参阅示例：使用预共享密钥配置 AutoVPN。

配置和管理

AutoVPN 使用 CLI 在防火墙上配置和管理。单个防火墙上可配置多个 AutoVPN 中枢。配置的中枢支持的最大分支数特定于防火墙型号。

使用 PIM 的组播支持

IP 组播通过复制数据包将流量传输到多个预期接收方。您可以将组播数据用于视频流等应用程序。您的防火墙支持点对多点（P2MP）模式下的协议无关组播（PIM）。您可以在防火墙的安全隧道 st0 接口上使用 P2MP 模式启用 PIM。该协议从接口配置中检测 P2MP 接口并支持组播流量。要了解 PIM，请参阅 PIM 概述。

图 1 展示了 P2MP 基础架构中的组播拓扑。

图 1：P2MP 基础架构 Network topology for multicast distribution using Juniper SRX Firewalls: Multicast Source to Hub via private interface, secure tunnels to Spokes, delivering to Receivers.

Network topology for multicast distribution using Juniper SRX Firewalls: Multicast Source to Hub via private interface, secure tunnels to Spokes, delivering to Receivers.

中的组播拓扑

拓扑显示，其中一个防火墙充当中心，三个防火墙中的其余部分充当分支。您还可以在拓扑中有两个分支。通常，组播发送器位于集线器后面，而组播接收器位于分支后面。对于组播支持，请注意中心辐射型设备上的安全隧道 st0 逻辑接口配置了 PIM P2MP 模式。在这些设备中的每一个设备上， st0 P2MP 接口都会跟踪每个邻接方的所有 PIM 加入，以确保组播转发或复制仅发生在处于加入状态的邻接方上。

防火墙支持通过 st0 P2MP 接口以 PIM 稀疏模式发送 IP 组播流量。中枢充当第一跳路由器（FHR）或汇聚点（RP）。分支可以充当 P2MP 网络中的最后一跳路由器（LHR）。网络中的设备会将组播数据包复制到加入组播组的邻接方。

配置组播流量支持时，请注意以下注意事项：

无法在 P2MP 接口上配置 IPv6 组播。
要使 IP 组播配置正常工作，必须禁用 PowerMode IPsec （PMI）。
您无法在 P2MP 接口之间执行组播 ping。
请注意，启用PIM时，IGMP默认启用，但在P2MP接口上不起作用。

有关如何在 P2MP 基础设施上配置组播支持的详细信息，请参阅在 P2MP 基础设施上配置组播支持。

了解 AutoVPN 限制

AutoVPN 不支持以下功能：

不支持基于策略的 VPN。
AutoVPN 隧道不支持 RIP 动态路由协议。
不支持使用预共享密钥的手动密钥和 AutoKey IKE。
不支持在辐射的中心上配置静态下一跃点隧道绑定（NHTB）。
不支持 IPv6 组播。
将 IP 地址作为 IKE ID 不支持组 IKE ID 用户类型。
当使用组 IKE ID 用户类型时，IKE ID 不应与在同一外部接口上配置的其他 IKE 网关重叠。

了解带有流量选择器的 AutoVPN

AutoVPN 中枢可以配置多个流量选择器，以保护到分支的流量。此功能具有以下优势：

单个 VPN 配置可以支持许多不同的对等方。
VPN 对等方可以是第三方设备。
单个对等方可以使用同一 VPN 建立多个隧道。
与使用动态路由协议的 AutoVPN 相比，可以支持更多的隧道。

在点对点模式下使用安全隧道接口的 AutoVPN 网络支持流量选择器和 IKE 对等方的 IPv6 地址。

建立中心辐射型隧道时，中心将使用自动路由插入（ARI）（在早期版本中称为 反向路由插入（RRI））将路由插入其路由表中的分支前缀。然后，可以将 ARI 路由导入路由协议并分发到核心网络。

带流量选择器的 AutoVPN 可在点对点模式下为 IKEv1 和 IKEv2 使用安全隧道（st0）接口进行配置。

配置流量选择器时，st0 接口不支持动态路由协议。

使用流量选择器配置 AutoVPN 时，请注意以下注意事项：

在点对点模式下，具有 st0 接口的流量选择器不支持动态路由协议。
自动发现 VPN 和 IKEv2 配置有效负载不能使用带流量选择器的 AutoVPN 进行配置。
辐射可以是第三方设备;但是，请注意以下差异：
- 在 IKEv2 中，第三方分支可以在单个 SA 协商中提议多个流量选择器。瞻博网络防火墙不支持此功能，并且协商将被拒绝。
- 第三方分支可以识别特定端口或协议以供流量选择器使用。瞻博网络防火墙上的流量选择器不支持端口和协议，因此协商会被拒绝。

了解 AutoVPN 部署中的分支身份验证

在 AutoVPN 部署中，中心辐射型设备必须加载有效的 X.509 PKI 证书。您可以使用该 show security pki local-certificate detail 命令显示有关设备中加载的证书的信息。

本主题介绍允许分支使用证书进行身份验证并连接到集线器的配置：

集线器上的组 IKE ID 配置
排除分支连接

集线器上的组 IKE ID 配置

组 IKE ID 功能允许多个分支设备在中枢上共享一个 IKE 配置。在每个分支的 X.509 证书的主题或备用主题字段中，证书持有者的标识必须包含所有分支通用的部分;证书标识的公共部分是为中枢上的 IKE 配置指定的。

例如，可以在集线器上配置 IKE ID example.net ，以识别主机名为 device1.example.net、 device2.example.net和 device3.example.net的分支。每个分支上的证书必须在备用主题字段中包含主机名标识，位于 example.net 该字段的最右侧部分;例如， device1.example.net。在此示例中，所有分支都在其 IKE ID 有效负载中使用此主机名标识。在 IKE 协商期间，分支中的 IKE ID 用于匹配集线器上配置的对等 IKE 身份的公共部分。有效的证书可对分支进行身份验证。

证书标识的公共部分可以是以下内容之一：

证书备用主题字段最右侧部分的部分主机名，例如 example.net。
证书替代主题字段最右侧的部分电子邮件地址，例如 @example.net。
一个容器字符串、一组通配符或两者，以匹配证书的主题字段。主题字段包含抽象语法标记一（ASN.1）可分辨名称（DN）格式的数字证书持有人的详细信息。字段可以包括组织、组织单位、国家/地区、地区或通用名称。

要将组 IKE ID 配置为匹配证书中的主题字段，可以指定以下类型的身份匹配：
- 容器 — 如果分支证书的主题字段与中心上配置的值完全匹配，则中心将对分支的 IKE ID 进行身份验证。可以为每个主题字段指定多个条目（例如 ou=eng,ou=sw）。字段中值的顺序必须匹配。
- 通配符 — 如果分支证书的主题字段与中心上配置的值匹配，则中心将对分支的 IKE ID 进行身份验证。通配符匹配仅支持配置中的每个 DN 字段一个值。例如，您可以指定或 ou=eng ou=sw。CLI 不支持多个值，例如 ou=eng, ou=sw.DN 字段的顺序不会影响匹配行为。

以下示例在证书的备用主题字段中使用部分主机名 example.net 配置组 IKE ID。

在此示例中，是 example.net 用于所有分支的主机名标识的公共部分。分支上的所有 X.509 证书都必须在最右侧的备用主题字段 example.net 中包含主机名标识。所有分支都必须在其 IKE ID 有效负载中使用主机名标识。

以下示例使用通配符配置组 IKE ID，以匹配证书的组织部门和example组织主题字段中的值sales。

在此示例中，这些字段 ou=sales,o=example 是分支预期证书中主题字段的公共部分。在 IKE 协商期间，如果分支提供证书中包含主题字段 cn=alice,ou=sales,o=example 的证书，则身份验证将成功并建立隧道。如果分支提供证书，其证书中包含主题字段 cn=thomas,ou=engineer,o=example ，则该证书将被中枢拒绝，因为组织单位应为 sales。

排除分支连接

要排除特定分支无法连接到中枢，必须吊销该分支的证书。中心需要从包含已吊销证书序列号的证书颁发机构检索最新的证书吊销列表（CRL）。然后，中枢将拒绝来自已吊销分支的 VPN 连接。在中枢提供最新的 CRL 之前，中枢可能会继续从已撤销的分支建立隧道。有关详细信息，请参阅注册证书和证书颁发机构配置文件。

AutoVPN 配置概述

以下步骤介绍了在中心辐射型设备上配置 AutoVPN 的基本任务。AutoVPN 中枢将为所有当前分支和新分支配置一次。

要配置 AutoVPN 中枢，请执行以下操作：

在设备中注册证书颁发机构证书和本地证书。
- 如果您没有证书颁发机构证书，则可以使用基于预共享密钥的身份验证。
创建安全隧道（st0）接口，并将其配置为点对多点模式。
配置单个 IKE 策略。
使用所有分支通用的组IKE ID 配置IKE网关。
配置单个 IPsec 策略和 VPN。
配置动态路由协议。

要配置瞻博网络防火墙 AutoVPN 分支设备：

在设备中注册证书颁发机构证书和本地证书。
- 如果在中枢上配置预共享密钥身份验证，请使用基于预共享密钥的身份验证方法。
创建一个 st0 接口，并将其配置为点对多点模式。
配置 IKE 策略以匹配在中枢上配置的 IKE 策略。
使用与中枢上配置的组IKE ID 匹配的 ID 配置IKE网关。
配置 IPsec 策略以匹配在中枢上配置的 IPsec 策略。
配置动态路由协议。

本主题中列出的示例将运行 Junos OS 的防火墙用于中心辐射型配置。如果分支设备未运行 Junos OS，则需要配置下一跃点隧道绑定。

示例：使用 iBGP 配置基本 AutoVPN

此示例说明如何将 AutoVPN 中枢配置为充当单个终端点，然后将两个分支配置为充当通向远程站点的隧道。此示例将 iBGP 配置为通过 VPN 隧道转发数据包，并使用基于证书的身份验证。

有关使用预共享密钥进行身份验证，请参阅“配置第 1 阶段选项”步骤，请参阅“分步过程中心”中的“配置第 1 阶段选项”步骤，以配置中心，请参阅“分步过程 spoke1 ”，以配置分支 1，以及分步过程 spoke2 中的“配置第 1 阶段选项”步骤。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

支持三个瞻博网络防火墙作为 AutoVPN 中心辐射型
支持 AutoVPN 的 Junos OS 版本

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议特定要求的更多信息，请参阅路由协议概述。

概述

此示例显示了 AutoVPN 中枢的配置以及两个分支的后续配置。

在此示例中，第一步是使用简单证书注册协议（SCEP）在每台设备中注册数字证书。分支的证书在主题字段中包含组织单位（OU）值“SLT”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SLT”。

分支建立与中枢的 IPsec VPN 连接，从而允许它们相互通信以及访问中枢上的资源。在 AutoVPN 中枢和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 2 显示了此示例中使用的选项。

表 2： AutoVPN 中心辐射型配置的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 数字证书
Diffie-Hellman （DH）群组	2
身份验证算法	SHA-1
加密算法	AES 128 CBC
IKE 策略：
模式	主
IPsec 提议：
协议	ESP
身份验证算法	HMAC MD5 96
加密算法	DES CBC
IPsec 策略：
完全向前保密（PFS）组	14

所有设备上都配置了相同的证书颁发机构（证书颁发机构）。

Junos OS 仅支持单级证书层次结构。

表 3 显示了在中心和所有分支上配置的选项。

表 3：中心和所有分支的 AutoVPN 配置
选项	集线器	所有辐射
IKE 网关：
远程 IP 地址	动态	10.1.1.1
远程 IKE ID	分支证书上的可分辨名称（DN），组织单位（OU）字段中的字符串`SLT`	集线器证书上的 DN
本地 IKE ID	集线器证书上的 DN	分支证书上的 DN
外部接口	ge-0/0/1.0	分支 1：fe-0/0/1.0 分支 2：ge-0/0/1.0
VPN：
绑定接口	st0.0	st0.0
建立隧道	（未配置）	配置提交后立即

表 4 显示了每个分支上不同的配置选项。

表 4：分支配置之间的比较
选项	分支 1	分支 2
st0.0 接口	10.10.10.2/24	10.10.10.3/24
内部网络接口	（fe-0.0/4.0） 10.60.60.1/24	（fe-0.0/4.0） 10.70.70.1/24
与互联网的接口	（fe-0/0/1.0） 10.2.2.1/30	（ge-0/0/1.0） 10.3.3.1/30

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。

拓扑结构

图 2 显示了此示例中要为 AutoVPN 配置的防火墙。

图 2：使用 iBGP Network topology diagram showing hub-and-spoke VPN with three trust zones 10.60.60.0/24, 10.70.70.0/24, and 10.50.50.0/24. Hub connects to the Internet and Spokes, with a CA server for secure communication.

Network topology diagram showing hub-and-spoke VPN with three trust zones 10.60.60.0/24, 10.70.70.0/24, and 10.50.50.0/24. Hub connects to the Internet and Spokes, with a CA server for secure communication.

的基本 AutoVPN 部署

配置

要配置 AutoVPN，请执行以下操作：

第一部分介绍如何在中心辐射型设备上使用简单证书注册协议（SCEP）在线获取证书颁发机构证书和本地证书。如果您使用的是 PSK，请忽略此步骤。

使用 SCEP 注册设备证书
配置 the Hub
配置分支 1
配置分支 2

分步程序

要在中心上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

分步程序

要在分支 1 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

分步程序

要在分支 2 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置该中心，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

如果您打算使用预共享密钥而不是证书进行身份验证，请在配置中进行以下更改：
- 在 ike 提议的 [edit security ike proposal ike-proposal] 层次结构级别，替换 authentication-method rsa-signatures 为 authentication-method pre-shared-keys.
  
  有关选项的详细信息，请参阅提议（安全性 IKE）。
- 在 IKE 策略的 [edit security ike policy policy-name] 层次结构级别，替换 certificate local-certificate Local1 为 pre-shared-key ascii-text key.
  - 例如， set pre-shared-key ascii-text juniper123
  有关选项的详细信息，请参阅策略（安全性 IKE）。
- 在 IKE 网关的 [edit security ike gateway hub-to-spoke-gw] 层次结构级别，
  - 替换为 dynamic distinguished-name wildcard OU=SLT dynamic hostname domain-name.
    - 例如， set dynamic hostname juniper.net
      
      确保您的设备能够解析主机名。或者，您可以将 set dynamic general-ikeid 和 set dynamic ike-user-type group-ike-id 用于分支动态身份。
  - 替换为 local-identity distinguished-name local-identity hostname hub-hostname.
    - 例如， set local-identity hostname hub.juniper.net。
      
      确保您的设备能够解析主机名。或者，您可以使用 inet ip-address as set local-identity inet 192.168.1.100中的。
  有关选项的详细信息，请参阅网关（安全性 IKE）。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。如果您使用的是 PSK，请忽略此步骤。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 1

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 1：

配置接口。

配置路由协议。

配置第 1 阶段选项。

如果您打算使用预共享密钥而不是证书进行身份验证，请在配置中进行以下更改。
- 在 ike 提议的 [edit security ike proposal ike-proposal] 层次结构级别，替换 authentication-method rsa-signatures 为 authentication-method pre-shared-keys.
- 在 IKE 策略的 [edit security ike policy policy-name] 层次结构级别，替换 certificate local-certificate Local1 为 pre-shared-key ascii-text key.
- 在 IKE 网关的 [edit security ike gateway hub-to-spoke-gw] 层次结构级别，
  - 替换为 local-identity distinguished-name local-identity hostname spoke1-hostname.
    - 例如， set local-identity hostname spoke1.juniper.net。
  - 替换为 remote-identity distinguished-name remote-identity hostname hub-hostname.
    - 例如， set remote-identity hostname hub.juniper.net
  确保您的设备能够解析主机名。或者，您可以在 inet ip-address 和 set remote-identity inet 192.168.1.100中使用 set local-identity inet 172.16.1.100 as 。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。如果您使用的是 PSK，请忽略此步骤。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 2

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 2，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

如果您打算使用预共享密钥而不是证书进行身份验证，请在配置中进行以下更改。
- 在 ike 提议的 [edit security ike proposal ike-proposal] 层次结构级别，替换 authentication-method rsa-signatures 为 authentication-method pre-shared-keys.
- 在 IKE 策略的 [edit security ike policy policy-name] 层次结构级别，替换 certificate local-certificate Local1 为 pre-shared-key ascii-text key.
- 在 IKE 网关的 [edit security ike gateway hub-to-spoke-gw] 层次结构级别，
  - 替换为 local-identity distinguished-name local-identity hostname spoke2-hostname.
    - 例如， set local-identity hostname spoke2.juniper.net
  - 替换为 remote-identity distinguished-name remote-identity hostname hub-hostname.
    - 例如， set remote-identity hostname hub.juniper.net
  确保您的设备能够解析主机名。或者，您可以在 inet ip-address 和 set remote-identity inet 192.168.1.100中使用 set local-identity inet 10.0.1.100 as 。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。如果您使用的是 PSK，请忽略此步骤。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态
验证 IPsec 第 2 阶段状态
验证 IPsec 下一跳隧道
验证 BGP
验证获知的路由

验证 IKE 第 1 阶段状态

目的
行动
意义

目的

验证是否已获知到分支的路由。

行动

在操作模式下，输入命令 show route 10.60.60.0 。

在操作模式下，输入命令 show route 10.70.70.0 。

示例：使用 iBGP 为 IPv6 流量配置基本 AutoVPN

此示例说明如何将 AutoVPN 中枢配置为充当单个终端点，然后将两个分支配置为充当通向远程站点的隧道。此示例使用 iBGP 为 IPv6 环境配置 AutoVPN，以便使用基于证书的身份验证通过 VPN 隧道转发数据包。对于使用预共享密钥进行身份验证，请设置示例：使用 iBGP 配置基本 AutoVPN 中所示的类似配置。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

支持三个防火墙作为 AutoVPN 中心辐射型防火墙。
支持 Junos OS 版本。

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议特定要求的更多信息，请参阅路由协议概述。

概述

此示例显示了 AutoVPN 集线器的配置以及两个分支的后续配置。

在此示例中，第一步是使用简单证书注册协议（SCEP）在每台设备中注册数字证书。分支的证书在主题字段中包含组织单位（OU）值“SLT”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SLT”。

分支建立与中枢的 IPsec VPN 连接，从而允许它们相互通信以及访问中枢上的资源。在 AutoVPN 中枢和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 5 显示了此示例中使用的选项。

表 5： AutoVPN 中心辐射型配置的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 数字证书
Diffie-Hellman （DH）群组	19
身份验证算法	SHA-384
加密算法	AES 256 CBC
IKE 策略：
模式	主
IPsec 提议：
协议	ESP
生存秒数	3000
加密算法	AES 256 GCM
IPsec 策略：
完全向前保密（PFS）组	19

所有设备上都配置了相同的证书颁发机构（证书颁发机构）。

Junos OS 仅支持单级证书层次结构。

表 6 显示了在中心和所有分支上配置的选项。

表 6：中心和所有分支的 AutoVPN 配置
选项	集线器	所有辐射
IKE 网关：
远程 IP 地址	动态	2001：db8：2000：：1
远程 IKE ID	分支证书上的可分辨名称（DN），组织单位（OU）字段中的字符串`SLT`	集线器证书上的 DN
本地 IKE ID	集线器证书上的 DN	分支证书上的 DN
外部接口	ge-0/0/0	分支 1：ge-0/0/0.0 分支 2：ge-0/0/0.0
VPN：
绑定接口	st0.1	st0.1
建立隧道	（未配置）	建立流量隧道

表 7 显示了每个分支上不同的配置选项。

表 7：分支配置之间的比较
选项	分支 1	分支 2
st0.0 接口	2001：db8：7000：：2/64	2001：db8：7000：：3/64
内部网络接口	（ge-0/0/1.0） 2001：db8：4000：：1/64	（ge-0/0/1.0） 2001：db8：6000：：1/64
与互联网的接口	（ge-0/0/0.0） 2001：db8：3000：：2/64	（ge-0/0/0.0） 2001：db8：5000：：2/64

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。

拓扑结构

图 3 显示了此示例中要为 AutoVPN 配置的防火墙。

图 3：使用 iBGP Network topology diagram: green clouds represent Trust Zones with IP ranges; red cloud is Untrust Zone. Hub connects zones. Devices: Hub, CA Server, Spoke 1, Spoke 2. Uses IPv6.

Network topology diagram: green clouds represent Trust Zones with IP ranges; red cloud is Untrust Zone. Hub connects zones. Devices: Hub, CA Server, Spoke 1, Spoke 2. Uses IPv6.

的基本 AutoVPN 部署

配置

要配置 AutoVPN，请执行以下操作：

第一部分介绍如何在中心辐射型设备上使用简单证书注册协议（SCEP）在线获取证书颁发机构证书和本地证书。

使用 SCEP 注册设备证书
配置 the Hub
配置分支 1
配置分支 2

使用 SCEP 注册设备证书

分步程序
分步程序
分步程序

分步程序

要在中心上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

分步程序

要在分支 1 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

分步程序

要在分支 2 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置该中心，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 1

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 1：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 2

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 2，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证 IKE 状态
验证 IPsec 状态
验证 IPsec 下一跳隧道
验证 BGP

验证 IKE 状态

目的
行动
意义

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

两个受支持的防火墙作为 AutoVPN 中心辐射型
支持的 Junos OS 版本

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了使用两个 IPsec VPN 隧道的 AutoVPN 中心和分支的配置。

在此示例中，第一步是使用简单证书注册协议（SCEP）在每台设备中注册数字证书。证书将在每个 IPsec VPN 隧道的中心和分支中注册。分支的证书之一在可分辨名称（DN）中包含组织单位（OU）值“SLT”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SLT”。分支的另一个证书在 DN 中包含 OU 值“SBU”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SBU”。

分支建立与中枢的 IPsec VPN 连接，从而允许其访问中枢上的资源。在 AutoVPN 中枢和分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 8 显示了此示例中使用的选项。

表 8： AutoVPN 中心辐射型 iBGP ECMP 配置的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 数字证书
Diffie-Hellman （DH）群组	2
身份验证算法	SHA-1
加密算法	AES 128 CBC
IKE 策略：
模式	主
IPsec 提议：
协议	ESP
身份验证算法	HMAC MD5 96
加密算法	DES CBC
IPsec 策略：
完全向前保密（PFS）组	14

所有设备上都配置了相同的证书颁发机构（证书颁发机构）。

Junos OS 仅支持单级证书层次结构。

表 9 显示了在中心和分支上配置的选项。

表 9：中心辐射型 1 的 AutoVPN iBGP ECMP 配置
选项	集线器	分支 1
IKE 网关：
远程 IP 地址	hub-to-spoke-gw-1：动态 hub-to-spoke-gw-2：动态	辐条到中心 GW-1：10.1.1.1 spoke-to-hub-gw-2：10.1.2.1
远程 IKE ID	hub-to-spoke-gw-1：分支证书上的 DN，OU 字段中包含字符串`SLT` hub-to-spoke-gw-2：分支证书上的 DN，OU 字段中包含字符串`SBU`	spoke-to-hub-gw-1：中枢证书上的 DN spoke-to-hub-gw-2：集线器证书上的 DN
本地 IKE ID	集线器证书上的 DN	分支证书上的 DN
外部接口	中心辐射型 GW-1：ge-0/0/1.0 中心辐射型 GW-2：ge-0/0/2.0	辐条到中心 GW-1：FE-0/0/1.0 辐条到集线器-GW-2：FE-0/0/2.0
VPN：
绑定接口	中心辐射型 VPN-1：st0.0 中心辐射型 VPN-2：st0.1	辐条至中心 1：st0.0 辐条至中心 2：st0.1
建立隧道	（未配置）	配置提交后立即

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。

拓扑结构

图 4 显示了此示例中要为 AutoVPN 配置的防火墙。

图 4：使用 iBGP 和 ECMP Network topology diagram showing hub-and-spoke VPN with three trust zones 10.60.60.0/24, 10.70.70.0/24, and 10.50.50.0/24. Hub connects to the Internet and Spokes, with a CA server for secure communication.

的 AutoVPN 部署

配置

要配置 AutoVPN，请执行以下操作：

第一部分介绍如何在中心辐射型设备上使用简单证书注册协议（SCEP）在线获取证书颁发机构证书和本地证书。

使用 SCEP 注册设备证书
配置 the Hub
配置分支 1

使用 SCEP 注册设备证书

分步程序
分步程序

分步程序

要在中心上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

为每个证书生成一个密钥对。

注册本地证书。

验证本地证书。

分步程序

要在分支 1 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

为每个证书生成一个密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）适用于 SLT Local1 和 SBU Local2。中枢上的 IKE 配置包括 OU=SLT 和 OU=SBU 用于识别分支。

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置该中心，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 1

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 1：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态
验证 IPsec 第 2 阶段状态
验证 IPsec 下一跳隧道
验证 BGP
验证获知的路由
在转发表中验证路由安装

验证 IKE 第 1 阶段状态

目的
行动
意义

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

两个受支持的防火墙作为 AutoVPN 中心辐射型
支持的 Junos OS 版本

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了使用两个 IPsec VPN 隧道的 AutoVPN 中心和分支的配置。

在此示例中，第一步是使用简单证书注册协议（SCEP）在每台设备中注册数字证书。证书将在每个 IPsec VPN 隧道的中心和分支中注册。分支的证书之一在可分辨名称（DN）中包含组织单位（OU）值“SLT”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SLT”。分支的另一个证书在 DN 中包含 OU 值“SBU”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SBU”。

分支建立与中枢的 IPsec VPN 连接，从而允许其访问中枢上的资源。在 AutoVPN 中枢和分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 10 显示了此示例中使用的选项。

表 10： AutoVPN 中心辐射型 iBGP 主动备份隧道配置的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 数字证书
Diffie-Hellman （DH）群组	2
身份验证算法	SHA-1
加密算法	AES 128 CBC
IKE 策略：
模式	主
IPsec 提议：
协议	ESP
身份验证算法	HMAC MD5 96
加密算法	DES CBC
IPsec 策略：
完全向前保密（PFS）组	14

所有设备上都配置了相同的证书颁发机构（证书颁发机构）。

Junos OS 仅支持单级证书层次结构。

表 11 显示了在中心和分支上配置的选项。

表 11：用于中心辐射型 1 的 AutoVPN IBGP 主动备份隧道配置
选项	集线器	分支 1
IKE 网关：
远程 IP 地址	hub-to-spoke-gw-1：动态 hub-to-spoke-gw-2：动态	辐条到中心 GW-1：10.1.1.1 spoke-to-hub-gw-2：10.1.2.1
远程 IKE ID	hub-to-spoke-gw-1：分支证书上的 DN，OU 字段中包含字符串`SLT` hub-to-spoke-gw-2：分支证书上的 DN，OU 字段中包含字符串`SBU`	spoke-to-hub-gw-1：中枢证书上的 DN spoke-to-hub-gw-2：集线器证书上的 DN
本地 IKE ID	集线器证书上的 DN	分支证书上的 DN
外部接口	中心辐射型 GW-1：ge-0/0/1.0 中心辐射型 GW-2：ge-0/0/2.0	辐条到中心 GW-1：FE-0/0/1.0 辐条到集线器-GW-2：FE-0/0/2.0
VPN：
绑定接口	中心辐射型 VPN-1：st0.0 中心辐射型 VPN-2：st0.1	辐条至中心 1：st0.0 辐条至中心 2：st0.1
VPN 监控器	中心辐射型 VPN-1：ge-0/0/1.0（源接口）中心辐射型 VPN-2：ge-0/0/2.0（源接口）	spoke-to-hub-1：10.1.1.1（目标 IP）辐条到中心 2：10.1.2.1（目标 IP）
建立隧道	（未配置）	配置提交后立即

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。

拓扑结构

图 5 显示了此示例中要为 AutoVPN 配置的防火墙。

图 5：使用 iBGP 和主动备份隧道 Network topology diagram showing secure zones 10.60.60.0/24 and 10.50.50.0/24, untrusted Internet zone, and IP allocations.

的 AutoVPN 部署

在此示例中，将在中心和分支 1 之间建立两个 IPsec VPN 隧道。路由信息通过每个隧道中的 iBGP 会话进行交换。到 10.60.60.0/24 的路由的最长前缀匹配是通过中枢上的 st0.0 接口。因此，路由的主隧道通过中心辐射型 1 上的 st0.0 接口。默认路由通过中心辐射型 1 上 st0.1 接口上的备用隧道。

VPN 监控可检查隧道的状态。如果主隧道出现问题（例如，无法访问远程隧道网关），则隧道状态将更改为关闭，并且发往 10.60.60.0/24 的数据将通过备份隧道重新路由。

配置

要配置 AutoVPN，请执行以下操作：

第一部分介绍如何在中心辐射型设备上使用简单证书注册协议（SCEP）在线获取证书颁发机构证书和本地证书。

使用 SCEP 注册设备证书
配置 the Hub
配置分支 1

使用 SCEP 注册设备证书

分步程序
分步程序

分步程序

要在中心上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

为每个证书生成一个密钥对。

注册本地证书。

验证本地证书。

分步程序

要在分支 1 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

为每个证书生成一个密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）适用于 SLT Local1 和 SBU Local2。中枢上的 IKE 配置包括 OU=SLT 和 OU=SBU 用于识别分支。

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置该中心，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 1

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 1：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show policy-options、 show security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态（两个隧道均已开启）
验证 IPsec 第 2 阶段状态（两个隧道均已开启）
验证 IPsec 下一跃点隧道（两个隧道均已开启）
验证 BGP（两个隧道均已开启）
验证获知的路由（两个隧道均已开启）
验证 IKE 第 1 阶段状态（主隧道已关闭）
验证 IPsec 第 2 阶段状态（主隧道已关闭）
验证 IPsec 下一跃点隧道（主隧道已关闭）
验证 BGP（主隧道已关闭）
验证获知的路由（主隧道已关闭）

验证 IKE 第 1 阶段状态（两个隧道均已开启）

目的
行动
意义

目的

验证当两个隧道都开启时，是否已获知到分支的路由。到 10.60.60.0/24 的路由通过 st0.0 接口，默认路由通过 st0.1 接口。

行动

在操作模式下，输入命令 show route 10.60.60.0 。

在操作模式下，输入命令 show route 0.0.0.0 。

验证 IKE 第 1 阶段状态（主隧道已关闭）

目的
行动
意义

目的

验证在主隧道关闭时，是否已获知到分支的路由。到 10.60.60.0/24 的路由和默认路由都通过 st0.1 接口。

行动

在操作模式下，输入命令 show route 10.60.60.0 。

在操作模式下，输入命令 show route 0.0.0.0 。

示例：使用 OSPF 配置基本 AutoVPN

此示例说明如何将 AutoVPN 中枢配置为充当单个终端点，然后将两个分支配置为充当通向远程站点的隧道。此示例将 OSPF 配置为使用基于证书的身份验证通过 VPN 隧道转发数据包。对于使用预共享密钥进行身份验证，请设置示例：使用 iBGP 配置基本 AutoVPN 中所示的类似配置。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

支持三个防火墙作为 AutoVPN 中心辐射型防火墙
支持的 Junos OS 版本

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了 AutoVPN 中枢的配置以及两个分支的后续配置。

在此示例中，第一步是使用简单证书注册协议（SCEP）在每台设备中注册数字证书。分支的证书在主题字段中包含组织单位（OU）值“SLT”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SLT”。

分支建立与中枢的 IPsec VPN 连接，从而允许它们相互通信以及访问中枢上的资源。在 AutoVPN 中枢和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 12 显示了此示例中使用的选项。

表 12： AutoVPN 中心辐射型基本 OSPF 配置的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 数字证书
Diffie-Hellman （DH）群组	2
身份验证算法	SHA-1
加密算法	AES 128 CBC
IKE 策略：
模式	主
IPsec 提议：
协议	ESP
身份验证算法	HMAC MD5 96
加密算法	DES CBC
IPsec 策略：
完全向前保密（PFS）组	14

所有设备上都配置了相同的证书颁发机构（证书颁发机构）。

Junos OS 仅支持单级证书层次结构。

表 13 显示了在中心和所有分支上配置的选项。

表 13：中心和所有分支的 AutoVPN 基本 OSPF 配置
选项	集线器	所有辐射
IKE 网关：
远程 IP 地址	动态	10.1.1.1
远程 IKE ID	分支证书上的可分辨名称（DN），组织单位（OU）字段中的字符串`SLT`	集线器证书上的 DN
本地 IKE ID	集线器证书上的 DN	分支证书上的 DN
外部接口	ge-0/0/1.0	分支 1：fe-0/0/1.0 分支 2：ge-0/0/1.0
VPN：
绑定接口	st0.0	st0.0
建立隧道	（未配置）	配置提交后立即

表 14 显示了每个分支上不同的配置选项。

表 14：基本 OSPF 分支配置之间的比较
选项	分支 1	分支 2
st0.0 接口	10.10.10.2/24	10.10.10.3/24
内部网络接口	FE-0.0/4.0：100.60.60.1/24	FE-0.0/4.0：10.70.70.1/24
与互联网的接口	FE-0/0/1.0：10.2.2.1/30	ge-0/0/1.0：10.3.3.1/30

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。

拓扑结构

图 6 显示了此示例中要为 AutoVPN 配置的防火墙。

图 6：使用 OSPF Network topology diagram showing hub-and-spoke VPN with three trust zones 10.60.60.0/24, 10.70.70.0/24, and 10.50.50.0/24. Hub connects to the Internet and Spokes, with a CA server for secure communication.

的基本 AutoVPN 部署

配置

要配置 AutoVPN，请执行以下操作：

第一部分介绍如何在中心辐射型设备上使用简单证书注册协议（SCEP）在线获取证书颁发机构证书和本地证书。

使用 SCEP 注册设备证书
配置 the Hub
配置分支 1
配置分支 2

使用 SCEP 注册设备证书

分步程序
分步程序
分步程序

分步程序

要在中心上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

分步程序

要在分支 1 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

分步程序

要在分支 2 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置该中心，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show protocols、 show security ipsecshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 1

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 1：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show protocols、 show security ipsecshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 2

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 2，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show protocols、 show security ipsecshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态
验证 IPsec 第 2 阶段状态
验证 IPsec 下一跳隧道
验证 OSPF
验证获知的路由

验证 IKE 第 1 阶段状态

目的
行动
意义

目的

验证是否已获知到分支的路由。

行动

在操作模式下，输入命令 show route 60.60.60.0 。

在操作模式下，输入命令 show route 10.70.70.0 。

示例：使用 OSPFv3 配置 AutoVPN for IPv6 流量

此示例说明如何将 AutoVPN 中枢配置为充当单个终端点，然后将两个分支配置为充当通向远程站点的隧道。此示例使用 OSPFv3 为 IPv6 环境配置 AutoVPN，以便使用基于证书的身份验证通过 VPN 隧道转发数据包。对于使用预共享密钥进行身份验证，请设置示例：使用 iBGP 配置基本 AutoVPN 中所示的类似配置。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

支持三个防火墙作为 AutoVPN 中心辐射型防火墙。
支持 Junos OS 版本。

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了在中枢上使用 OSPFv3 路由协议配置 AutoVPN 以及两个分支的后续配置。

在此示例中，第一步是使用简单证书注册协议（SCEP）在每台设备中注册数字证书。分支的证书在主题字段中包含组织单位（OU）值“SLT”;集线器配置了组 IKE ID，以匹配 OU 字段中的值“SLT”。

分支建立与中枢的 IPsec VPN 连接，从而允许它们相互通信以及访问中枢上的资源。在 AutoVPN 中枢和所有分支上配置的第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 15 显示了此示例中使用的选项。

表 15： AutoVPN 中心辐射型基本 OSPFv3 配置的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 数字证书
Diffie-Hellman （DH）群组	19
身份验证算法	SHA-384
加密算法	AES 256 CBC
IKE 策略：
模式	主
IPsec 提议：
协议	ESP
生存秒数	3000
加密算法	AES 256 GCM
IPsec 策略：
完全向前保密（PFS）组	19

所有设备上都配置了相同的证书颁发机构（证书颁发机构）。

表 16 显示了在中心和所有分支上配置的选项。

表 16：中心和所有分支的 AutoVPN OSPFv3 配置
选项	集线器	所有辐射
IKE 网关：
远程 IP 地址	动态	2001：db8：2000：：1
远程 IKE ID	分支证书上的可分辨名称（DN），组织单位（OU）字段中的字符串`SLT`	集线器证书上的 DN
本地 IKE ID	集线器证书上的 DN	分支证书上的 DN
外部接口	ge-0/0/0	分支 1：ge-0/0/0.0 分支 2：ge-0/0/0.0
VPN：
绑定接口	st0.1	st0.1
建立隧道	（未配置）	配置提交后立即

表 17 显示了每个分支上不同的配置选项。

表 17：OSPFv3 分支配置之间的比较
选项	分支 1	分支 2
st0.1 接口	2001：db8：7000：：2/64	2001：db8：7000：：3/64
内部网络接口	（ge-0/0/1.0） 2001：db8：4000：：1/64	（ge-0/0/1.0） 2001：db8：6000：：1/64
与互联网的接口	（ge-0/0/0.0） 2001：db8：3000：：2/64	（ge-0/0/0.0） 2001：db8：5000：：2/64

所有设备的路由信息都通过 VPN 隧道进行交换。

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。

拓扑结构

图 7 显示了此示例中要为 AutoVPN 配置的防火墙。

图 7：使用 OSPFv3 Network topology diagram: green clouds represent Trust Zones with IP ranges; red cloud is Untrust Zone. Hub connects zones. Devices: Hub, CA Server, Spoke 1, Spoke 2. Uses IPv6.

的基本 AutoVPN 部署

配置

要配置 AutoVPN，请执行以下操作：

第一部分介绍如何在中心辐射型设备上使用简单证书注册协议（SCEP）在线获取证书颁发机构证书和本地证书。

使用 SCEP 注册设备证书
配置 the Hub
配置分支 1
配置分支 2

使用 SCEP 注册设备证书

分步程序
分步程序
分步程序

分步程序

要在中心上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

分步程序

要在分支 1 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

分步程序

要在分支 2 上使用 SCEP 注册数字证书：

配置证书颁发机构。

注册 CA 证书颁发机构证书。
在提示时键入 yes 以加载证书颁发机构证书。

生成密钥对。

注册本地证书。

验证本地证书。

主题字段中显示的组织部门（OU）为 SLT。集线器上的 IKE 配置包括 ou=SLT 用于识别分支。

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置该中心，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show protocols、 show security ipsecshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 1

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 1：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show protocols、 show security ipsecshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

配置分支 2

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。

要配置分支 2，请执行以下操作：

配置接口。

配置路由协议。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置区域。

配置默认安全策略。

配置证书颁发机构配置文件。

结果

在配置模式下，输入 show interfaces、 show protocols、 show security ipsecshow security ikeshow security zonesshow routing-optionsshow security policies和show security pki命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证 IKE 状态
验证 IPsec 状态
验证 IPsec 下一跳隧道
验证 OSPFv3

验证 IKE 状态

目的
行动
意义

分支 2：

示例：使用流量选择器通过 AutoVPN 隧道转发流量

此示例说明如何在 AutoVPN 部署中配置流量选择器（而不是动态路由协议），以通过 VPN 隧道转发数据包。配置流量选择器时，安全隧道（st0）接口必须处于点对点模式。流量选择器在中心和分支设备上均配置。此示例使用基于证书的身份验证。对于使用预共享密钥进行身份验证，请设置示例：使用 iBGP 配置基本 AutoVPN 中所示的类似配置。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

在一个机箱群集中连接并配置了两个防火墙。机箱群集是 AutoVPN 中枢。
一个防火墙配置为 AutoVPN 分支。
支持 Junos OS 版本。
在中心和分支设备中注册的数字证书，允许设备相互验证。

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。
在每台设备中注册数字证书。请参阅注册证书。

概述

在此示例中，流量选择器配置在 AutoVPN 中心辐射型上。只有符合配置流量选择器的流量才会通过隧道转发。在中枢上，流量选择器配置了本地 IP 地址 192.0.0.0/8 和远程 IP 地址 172.0.0.0/8。在分支上，流量选择器配置了本地 IP 地址 172.0.0.0/8 和远程 IP 地址 192.0.0.0/8。

分支上配置的流量选择器 IP 地址可以是中枢上配置的流量选择器 IP 地址的子集。这称为流量选择器灵活匹配。

在 AutoVPN 中心辐射上配置的某些第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 18 显示了此示例中使用的值：

表 18：带流量选择器的 AutoVPN 中心辐射型的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 签名
Diffie-Hellman （DH）群组	组 5
身份验证算法	SHA-1
加密算法	AES-256-CBC
IKE 策略：
模式	主
证书	本地证书
IKE 网关：
动态	可识别名称通配符 DC=Common_组件
IKE 用户类型	组 IKE ID
本地身份	可分辨名称
版本	仅限 v1
IPsec 提议：
协议	ESP
身份验证算法	HMAC-SHA1-96
加密算法	AES-192-CBC
生存期	3600 秒 150,000 千字节
IPsec 策略：
完全向前保密（PFS）组	组 5

拓扑结构

图 8 显示了为此示例要配置的防火墙。

图 8：带有流量选择器的 Network topology with Juniper SRX chassis cluster as hub connecting two cloud networks 192.168.82.1/24 and 172.16.1.253/24 via reth 0.0 and reth 1.0 interfaces.

Network topology with Juniper SRX chassis cluster as hub connecting two cloud networks 192.168.82.1/24 and 172.16.1.253/24 via reth 0.0 and reth 1.0 interfaces.

AutoVPN

配置

配置 the Hub
配置分支

配置 the Hub

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

您可以在 [edit security ike gateway gateway-name dynamic] 层级配置 CLI 选项reject-duplicate-connection，以保留现有隧道会话，并拒绝对具有相同 IKE ID 的新隧道的协商请求。默认情况下，当建立具有相同IKE ID 的新隧道时，现有隧道将被拆除。仅当ike-user-type shared-ike-idike-user-type group-ike-id或为 IKE 网关配置了该选项时，才支持该reject-duplicate-connection选项;此选项不支持该aaa access-profile profile-name配置。

仅当确定应拒绝重新建立具有相同 IKE ID 的新隧道时，才使用 CLI 选项 reject-duplicate-connection 。

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明，请参阅 CLI 用户指南。

要配置该中心，请执行以下操作：

配置接口。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置证书信息。

配置安全区域。

结果

在配置模式下，输入 show interfaces、 show security ike、 show security zonesshow security ipsecshow security pki、和show security policies命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

如果完成设备配置，请从配置模式进入。commit

配置分支

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明，请参阅 CLI 用户指南。

要配置该中心，请执行以下操作：

配置接口。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置证书信息。

配置安全区域。

结果

在配置模式下，输入 show interfaces、 show security ike、 show security zonesshow security ipsecshow security pki、和show security policies命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

如果完成设备配置，请从配置模式进入。commit

验证

确认配置工作正常。

验证隧道
验证流量选择器

验证隧道

目的
行动
意义

目的

验证是否在 AutoVPN 中心和分支架之间建立了隧道。

行动

在操作模式下，在中枢上输入和 show security ike security-associations show security ipsec security-associations 命令。

在操作模式下，在分支上输入和 show security ike security-associations show security ipsec security-associations 命令。

意义

该 show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。该 show security ipsec security-associations 命令会列出所有活动的 IKE 第 2 阶段 SA。中心显示一条通向分支的活动隧道，而分支显示一条通向枢纽的活动隧道。

如果未为 IKE 第 1 阶段列出任何 SA，则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中心辐射型上匹配。

如果未列出 IKE 第 2 阶段的 SA，则说明第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中心辐射型上匹配。

验证流量选择器

目的
行动
意义

目的

验证流量选择器。

行动

在操作模式下，在集线器上输入 show security ipsec traffic-selector interface-name st0.1 命令。

在操作模式下，在分支上输入 show security ipsec traffic-selector interface-name st0.1 命令。

意义

流量选择器是 IKE 对等方之间的协议，如果流量与指定的本地和远程地址对匹配，则允许流量通过隧道。仅允许符合流量选择器的流量通过 SA。流量选择器在发起方和响应方（中枢）之间协商。

示例：使用 AutoVPN 和流量选择器确保 VPN 隧道可用性

地理冗余是部署多个地理位置较远的站点，以便即使发生停电、自然灾害或其他影响站点的灾难性事件，流量也可以继续通过提供商网络流动。在移动提供商网络中，多个演进节点 B （eNodeB）设备可通过防火墙上的异地冗余 IPsec VPN 网关连接到核心网络。到 eNodeB 设备的替代路由使用动态路由协议分发到核心网络。

此示例在防火墙上使用多个流量选择器配置 AutoVPN 中枢，以确保存在到 eNodeB 设备的地理冗余 IPsec VPN 网关。自动路由插入（ARI）用于在中枢上的路由表中自动插入指向 eNodeB 设备的路由。然后，ARI 路由通过 BGP 分发到提供商的核心网络。该示例是使用基于证书的身份验证。对于使用预共享密钥进行身份验证，请设置示例：使用 iBGP 配置基本 AutoVPN 中所示的类似配置。

要求
概述
配置
验证

要求

此示例使用以下硬件和软件组件：

在一个机箱群集中连接并配置了两个防火墙。机箱群集是 AutoVPN 中枢 A。
一个防火墙配置为 AutoVPN 中枢 B。
支持 Junos OS 版本。
可通过 AutoVPN 中枢建立 IPsec VPN 隧道的 eNodeB 设备。eNodeB 设备是通过 AutoVPN 中枢启动 VPN 隧道的第三方网络设备提供商。
在中枢和 eNodeB 设备中注册的数字证书，允许设备相互验证。

开始之前：

提交本地证书请求时，获取证书颁发机构（证书颁发机构）的地址及其所需的信息（例如质询密码）。
在每台设备中注册数字证书。请参阅注册证书。

此示例使用 BGP 动态路由协议将朝向 eNodeB 设备的路由播发至核心网络。

概述

在此示例中，防火墙上的两个 AutoVPN 中枢配置了多个流量选择器，以便为 eNodeB 设备提供地理冗余 IPsec VPN 网关。ARI 会自动在中枢上的路由表中插入到 eNodeB 设备的路由。然后，ARI 路由通过 BGP 分发到提供商的核心网络。

AutoVPN 中枢和 eNodeB 设备上配置的某些第 1 阶段和第 2 阶段 IKE 隧道选项必须具有相同的值。表 19 显示了此示例中使用的值：

表 19：地理冗余 AutoVPN 中枢的第 1 阶段和第 2 阶段选项
选项	value
IKE 提议：
身份验证方法	RSA 签名
Diffie-Hellman （DH）群组	组 5
身份验证算法	SHA-1
加密算法	AES-256-CBC
IKE 策略：
证书	本地证书
IKE 网关：
动态	可识别名称通配符 DC=Common_组件
IKE 用户类型	组 IKE ID
失效对等体检测	探测空闲隧道
本地身份	可分辨名称
版本	仅限 v2
IPsec 提议：
协议	ESP
身份验证算法	HMAC-SHA1-96
加密算法	AES-256-CBC
IPsec 策略：
完全向前保密（PFS）组	组 5

在此示例中，所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。为简单起见，防火墙上的配置允许所有类型的入站流量;不建议将此配置用于生产部署。

拓扑结构

图 9 显示了为此示例要配置的防火墙。

图 9：到 eNodeB 设备的地理冗余 IPsec VPN 网关 Network topology with Juniper SRX devices, ENode B base stations on subnets 10.30.1.0/24 and 10.50.1.0/24, and a provider network. Hub A has a Chassis Cluster with interfaces reth1.0 at 10.2.2.1/24 and reth0.0 at 172.16.2.1/24. Hub B has an SRX device with interfaces ge-0/0/1.0 at 10.4.4.1/24 and ge-0/0/2.0 at 172.16.1.1/24.

Network topology with Juniper SRX devices, ENode B base stations on subnets 10.30.1.0/24 and 10.50.1.0/24, and a provider network. Hub A has a Chassis Cluster with interfaces reth1.0 at 10.2.2.1/24 and reth0.0 at 172.16.2.1/24. Hub B has an SRX device with interfaces ge-0/0/1.0 at 10.4.4.1/24 and ge-0/0/2.0 at 172.16.1.1/24.

配置

配置中枢 A
配置中枢 B
配置 eNodeB（配置示例）

配置中枢 A

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明，请参阅 CLI 用户指南。

要配置中心 A，请执行以下操作：

配置接口。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置 BGP 路由协议。

配置路由选项。

配置证书信息。

配置安全区域。

结果

在配置模式下，输入 show interfaces show security ike、 show security ipsec、 show security pkishow security zonesshow protocols bgpshow policy-options和show security policies命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

如果完成设备配置，请从配置模式进入。commit

配置中枢 B

CLI 快速配置
分步程序
结果

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明，请参阅 CLI 用户指南。

要配置中心 B，请执行以下操作：

配置接口。

配置第 1 阶段选项。

配置第 2 阶段选项。

配置 BGP 路由协议。

配置路由选项。

配置证书信息。

配置安全区域。

结果

在配置模式下，输入 show interfaces show security ike、 show security ipsec、 show security zonesshow protocols bgpshow security pki、和show security policies命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

如果完成设备配置，请从配置模式进入。commit

配置 eNodeB（配置示例）

分步程序
结果

分步程序

此示例中的 eNodeB 配置仅供参考。详细的 eNodeB 配置信息超出了本文档的范围。eNodeB 配置必须包括以下信息：
- 本地证书（X.509v3）和 IKE 身份信息
- 防火墙的 IKE 身份信息和公共 IP 地址
- 与中枢上的配置匹配的第 1 阶段和第 2 阶段提议

结果

此示例中的 eNodeB 设备使用 strongSwan 开源软件进行基于 IPsec 的 VPN 连接：

验证

确认配置工作正常。

验证 AutoVPN 中枢上的隧道
验证流量选择器
验证 ARI 路由

验证 AutoVPN 中枢上的隧道

目的
行动
意义

目的

验证是否在 AutoVPN 中枢和 eNodeB 设备之间建立了隧道。

行动

在操作模式下，在中枢上输入和 show security ike security-associations show security ipsec security-associations 命令。

意义

该 show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。该 show security ipsec security-associations 命令会列出所有活动的 IKE 第 2 阶段 SA。中心显示两个活动隧道，每个 eNodeB 设备一个。

如果未为 IKE 第 1 阶段列出任何 SA，则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 1 阶段提议参数必须在中枢和 eNodeB 设备上匹配。

如果未列出 IKE 第 2 阶段的 SA，则说明第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在中枢和 eNodeB 设备上匹配。

验证流量选择器

目的
行动
意义

目的

验证流量选择器。

行动

在操作模式下，输入命令 show security ipsec traffic-selector interface-name st0.1 。

意义

流量选择器是 IKE 对等方之间的协议，如果流量与指定的本地和远程地址对匹配，则允许流量通过隧道。仅允许符合流量选择器的流量通过 SA。流量选择器在发起方和响应方（中枢）之间协商。

验证 ARI 路由

目的
行动
意义

目的

验证 ARI 路由是否已添加到路由表中。

行动

在操作模式下，输入命令 show route 。

意义

自动路由插入（ARI）会自动为受远程隧道端点保护的远程网络和主机插入静态路由。系统会根据流量选择器中配置的远程 IP 地址创建路由。对于流量选择器，配置的远程地址将作为路由插入到与绑定到 VPN 的 st0 接口相关联的路由实例中。

到 eNodeB 目标 10.30.1.0/24 和 10.50.1.0/24 的静态路由将添加到中枢上的路由表中。这些路由可通过 st0.1 接口访问。

示例：使用预共享密钥配置 AutoVPN

此示例说明如何配置 VPN 网关用于对远程对等方身份验证的不同IKE预共享密钥。同样，要配置 VPN 网关用于对远程对等方身份验证的相同 IKE 预共享密钥。

有关 AutoVPN 的端到端配置，请参阅本主题中的其他示例。

配置不同的 IKE 预共享密钥
配置相同的 IKE 预共享密钥

配置不同的 IKE 预共享密钥

要配置 VPN 网关用于对远程对等方身份验证的不同 IKE 预共享密钥，请执行以下任务。

在带有 AutoVPN 中枢的设备中配置 IKE 策略的种子预共享。

或

例如：

或

显示对于使用网关名称和用户 ID 的远程对等方。pre-shared key

例如：

Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a

在远程对等设备上的 IKE 策略中配置生成的 PSK（步骤 2 中的“79e4ea39f5c06834a3c4c031e37c6de24d46798a”）。

例如：

（选答）要绕过 IKE ID 验证并允许所有 IKE ID 类型，请在网关的 [edit security ike gateway gateway_name dynamic] 层次结构级别下配置general-ikeid配置语句。

结果

在配置模式下，输入 show security 命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

配置相同的 IKE 预共享密钥

要配置 VPN 网关用于对远程对等方身份验证的相同 IKE 预共享密钥，请执行以下任务。

在带有 AutoVPN 集线器的设备中配置 IKE 策略的通用 pre-shared-key 值。

例如：

为远程对等设备配置 IKE 策略上的通用 pre-shared-key 配置。

例如：

（选答）要绕过 IKE ID 验证并允许所有 IKE ID 类型，请在网关的 [edit security ike gateway gateway_name dynamic] 层次结构级别下配置general-ikeid配置语句。

结果

在配置模式下，输入 show security 命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的说明以更正配置。

在 P2MP 基础架构上配置组播支持

在本主题中，您将了解如何在 P2MP 基础设施上启用组播支持。

在启用组播支持之前，请确保满足使用 PIM 支持组播中列出的注意事项。

请参阅以下部分，以配置和验证组播支持。

配置组播接口
用于验证组播配置的 CLI 命令

配置组播接口

要在 st0.0 接口上启用 PIM，请使用 set protocols pim interface interface-name command：
这是 st0.0 安全隧道接口。
要在 st0.0 接口上为 P2MP 模式启用多点，请使用 set interfaces interface-name unit unit-number multipoint 命令：
要为 st0.0 接口设置 IPv4 地址，请使用以下 set interfaces interface-name unit unit-number family inet address IPv4 address 命令：
此处，192.168.1.3/24 是接口的 IP 地址。

要在 st0.0 接口上禁用 PIM，请使用选项 disable：

用于验证组播配置的 CLI 命令

您可以使用以下命令验证组播配置。

要列出 PIM 接口，请使用命令 show pim interfaces 。
要列出加入组播组的邻接方，请使用命令 show pim join extensive 。
要查看 IP 组播转发表中的条目，请使用命令 show multicast route 。
要查看组播下一跃点详细信息，请使用命令。show multicast next-hops detail
要查看 IP 组播统计信息，请使用命令 show multicast statistics 。
要查看转发表条目，请使用命令 show route forwarding-table extensive 。

特定于平台的 AutoVPN 行为

使用功能资源管理器确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为。

特定于平台的身份验证行为
特定于平台的组播行为

特定于平台的身份验证行为

表 20：特定于平台的行为
平台	差异
SRX 系列	在配备 SPC3 和 vSRX 虚拟防火墙并支持基于 PSK 的身份验证的 SRX5000 系列上，您必须使用带有种子 PSK 身份验证的 AutoVPN 的 iked 进程来运行 IPsec VPN 身份验证。只有安装 junos-ike 软件包，防火墙才支持 AutoVPN with PSK。

特定于平台的组播行为

表 21：特定于平台的行为
平台	差异
SRX 系列	在支持组播的 SRX300、SRX320、SRX340、SRX345、SRX1500 和 vSRX 3.0 设备上，要在 st0 `p2mp` 接口上启用 PIM，必须通过 kmd 进程运行 IPsec VPN 服务。在支持组播的 SRX1500、SRX1600、SRX2300、SRX4100、SRX4120、SRX4200、SRX4300、SRX4600 和 vSRX 3.0 设备上，要在 st0 `p2mp` 接口上启用 PIM，必须使用 IKEED 进程运行 IPsec VPN 服务。

其他平台信息

使用功能资源管理器确认平台和版本对特定功能的支持。可能支持其他平台。

表 22：AutoVPN PSK 对 IKED 模式的支持
IKE 模式	采用 SPC3 vSRX 3.0 的 SRX5000 系列（IKE 工艺）
IKE 模式	共享 PSK	种子-PSK
IKEv2	是	是
IKEv2 与任何`remote-id`	是	是
IKEv1 积极模式	是	是
IKEv1 积极模式（ `any-remote-id`带 /`general-ikeid`	是	是
IKEv1 主模式	是	否
IKEv1 主模式，带有 any-remote-id/`general-ikeid`	是	否

本页内容

中心辐射型设备上的 AutoVPN

了解 AutoVPN

安全隧道模式

身份验证

配置和管理

使用 PIM 的组播支持

了解 AutoVPN 限制

了解带有流量选择器的 AutoVPN

也可以看看

了解 AutoVPN 部署中的分支身份验证

集线器上的组 IKE ID 配置

排除分支连接

也可以看看

AutoVPN 配置概述

也可以看看

示例：使用 iBGP 配置基本 AutoVPN

要求

概述

拓扑结构

配置

使用 SCEP 注册设备证书

分步程序

分步程序

分步程序

配置 the Hub

CLI 快速配置

分步程序

结果

配置分支 1

CLI 快速配置

分步程序

结果

配置分支 2

CLI 快速配置

分步程序

结果

验证

验证 IKE 第 1 阶段状态

目的

行动

意义

验证 IPsec 第 2 阶段状态

目的

行动

意义

验证 IPsec 下一跳隧道

目的

行动

意义

验证 BGP

目的

行动

验证获知的路由

目的

行动

也可以看看

示例：使用 iBGP 为 IPv6 流量配置基本 AutoVPN

要求

概述

拓扑结构

配置

使用 SCEP 注册设备证书

分步程序

分步程序

分步程序

配置 the Hub

CLI 快速配置

分步程序

结果

配置分支 1

CLI 快速配置

分步程序

结果

配置分支 2

CLI 快速配置

分步程序

结果

验证

验证 IKE 状态