Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN 在辐射型设备上

AutoVPN 支持 IPsec VPN 聚合器(称为中心),用作多个远程站点隧道(称为分支办事处)的一个终结点。AutoVPN 允许网络管理员为当前和将来的分支配置中心。

了解 AutoVPN

AutoVPN 支持 IPsec VPN 聚合器(称为中心),用作多个远程站点隧道(称为分支办事处)的一个终结点。AutoVPN 允许网络管理员为当前和将来的分支配置中心。添加或删除分支设备时,中心无需更改配置,从而允许管理员灵活地管理大规模网络部署。

安全隧道模式

基于路由的 IPsec Vpn 支持 AutoVPN。对于基于路由的 Vpn,您可以配置安全通道(st0)接口并将其绑定到 IPsec VPN 通道。AutoVPN 网络中的 st0 接口可采用以下两种模式之一进行配置:

  • 点到点模式 — 默认情况下,在 [ ] 层次结构级别配置的 st0 接口 edit interfaces st0 unit x 处于点到点模式。从 Junos OS Release 17.4 R1 开始,AutoVPN 上支持 IPv6 地址。

  • 点对多点模式 — 在此模式下,选项在 AutoVPN 中心和辐上的 [ ] 层次结构级别配置。中枢和辐上的 st0 接口必须编号,且在辐上配置的 IP 地址必须存在于中心 multipoint st0 接口子网中。 edit interfaces st0 unit x

表 1比较 AutoVPN 点到点和点到 multipoint 安全通道接口模式。

表 1: AutoVPN 点到点和点到 Multipoint 安全通道模式之间的比较

点到点模式

点对多点模式

支持 IKEv1 或 IKEv2。

支持 IKEv1 或 IKEv2。

支持 IPv4 和 IPv6 流量。

支持 IPv4 或 IPv6。

流量选择器

动态路由协议(OSPF、OSPFv3 和 iBGP)

死对等方检测

死对等方检测

允许分支设备 SRX 系列或第三方设备。

只有 SRX 系列设备才支持此模式。

身份验证

AutoVPN 中心和分支支持的身份验证是 x.509 公有密钥基础架构(PKI)证书。在中心上配置的组 IKE 用户类型允许指定字符串以匹配分支证书中的备用主题字段。还可以指定分支证书中主题字段的部分匹配项。请参阅了解 AutoVPN 部署中的分支身份验证

从 Junos OS 21.2R1 版开始,带 SPC3 卡和运行 iked 流程的 SRX5000 系列设备vSRX通过种子预共享密钥支持 AutoVPN。具有 SPC3 卡和 vSRX 的 SRX5000 系列设备仅支持 AutoVPN PSK,但仅支持安装 junos-ike 软件包。

我们支持 AutoVPN,提供以下两个选项:

  • 自动 VPN 种子 PSK:多个对等方连接到具有不同预共享密钥的同一网关。
  • 自动 VPN 共享 PSK:多个对等方连接到具有相同预共享密钥的同一网关。

种子 PSK 和非种子 PSK(即相同的共享 PSK)不同。种子 PSK 使用主密钥为对等方生成共享 PSK。因此,每个对等方将有不同的 PSK 连接到同一网关。例如:例如,如果对等方 1 IKE ID 为 user1@juniper.net,对等方 2 IKE ID 为 user2@juniper.net 尝试连接到网关。在这种情况下,配置为包含主密钥的网关将配置有 HUB_GWThisIsMySecretPreSharedkey 不同 PSK,如下所示:

对等方 1 79e4ea39f5c06834a3c4c031e37c6de24d46798a

对等方 23db8385746f3d1e639435a882579a9f28464e5c7

这意味着,对于拥有不同用户 ID 和同一主密钥的不同用户,将生成不同或唯一的预共享密钥。

您可以使用 或 seeded-pre-shared-key 用于 pre-shared-key 自动 VPN PSK:

  • 不同预共享密钥:如果 seeded-pre-shared-key 设置 ,VPN 网关IKE共享密钥来认证每个远程对等方。对等方预共享密钥使用对等方网关中的IKE master-key 集生成,并跨对等方共享。

    要启用 VPN 网关使用不同密钥IKE共享密钥 (PSK) 来认证每个远程对等方,请使用新的 CLI 命令或层级 seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal[edit security ike policy policy_name] 下。

    此命令在相同层次结构 pre-shared-key 下与命令互斥。

    请参阅 策略

  • 共享/同一预共享密钥:如果未 pre-shared-key-type 配置,则 PSK 被视为共享。VPN IKE共享密钥用于认证所有远程对等方,

    要启用 VPN 网关使用相同的 PSK IKE验证所有远程对等方,请使用 现有 CLI pre-sharedkey ascii-text 命令 pre-shared-key hexadecimal 或 。

在 VPN 网关上,可以使用层次结构IKE的配置语句绕过此 ID general-ikeid[edit security ike gateway gateway_name dynamic] 验证。如果配置了此选项,则当远程对等方进行认证时,VPN 网关将允许任何远程IKE ID 连接。请参阅general-ikeid

运行 iked 的带 SPC3 卡和 vSRX SRX5000 系列设备支持以下IKE模式:

表 2: AutoVPN PSK 支持

IKE模式

SRX5000 系列设备,带 SPC3 卡且vSRX iked 进程

共享 PSK

种子-PSK

IKEv2

IKEv2,带任意-remote-id

IKEv1 积极模式

具有 /的 IKEv1 积极 any-remote-id 模式general-ikeid

IKEv1 主模式

支持任意远程 ID/ 的 IKEv1 主模式general-ikeid

参阅示例:使用预共享密钥配置 AutoVPN。

配置和管理

AutoVPN 使用 CLI 在 SRX 系列设备上配置和管理。可在单个 SRX 系列设备上配置多个 AutoVPN 集线器。已配置集线器支持的最大分支数量特定于 SRX 系列设备的型号。

了解 AutoVPN 限制

AutoVPN 不支持以下功能:

  • 不支持基于策略的 Vpn。

  • AutoVPN 隧道不支持 RIP 动态路由协议。

  • 不支持使用预共享密钥的手动密钥和 Autokey IKE。

  • 不支持在分支中枢上配置静态下一跳通道绑定(NHTB)。

  • 不支持多播。

  • 不支持将 IP 地址用作 IKE ID 的 group IKE ID 用户类型。

  • 使用该组 IKE ID 用户类型时,IKE ID 不应与在同一外部接口上配置的其他 IKE 网关重叠。

使用流量选择器了解 AutoVPN

可将 AutoVPN 集线器配置为多个流量选择器,以保护到分支站点的流量。此功能具有以下优势:

  • 单个 VPN 配置可以支持许多不同的对等方。

  • VPN 对等方可以是非 SRX 系列设备。

  • 单个对等方可以使用相同的 VPN 建立多个隧道。

  • 支持的隧道数量比使用动态路由协议的 AutoVPN 多。

从 Junos OS Release 17.4 R1 开始,AutoVPN 网络在点对点模式下使用安全通道接口支持流量选择器和 IKE 对等方的 IPv6 地址。

建立从中心到分支的隧道时,中心使用在先前版本中已知的自动路由插入(ARI)作为反向路由插入(RRI),将路由插入路由表中的分支前缀。然后可以将 ARI 路由导入路由协议并分发到核心网络。

具有流量选择器的 AutoVPN 可在 IKEv1 和 IKEv2 的点对点模式下配置为安全通道(st0)接口。

配置流量选择器时,st0 接口上不支持动态路由协议。

在使用流量选择器配置 AutoVPN 时,请注意以下注意事项:

  • 在点对点模式下,带有 st0 接口的流量选择器不支持动态路由协议。

  • 自动发现 VPN 和 IKEv2 配置负载不能与流量选择器一起配置 AutoVPN。

  • 分支可以是非 SRX 系列设备;但是,请注意以下差异:

    • 在 IKEv2 中,非 SRX 系列分支可以在单个 SA 协商中提议多个流量选择器。SRX 系列设备上不支持此项,协商将被拒绝。

    • 非 SRX 系列分支可以识别流量选择器使用的特定端口或协议。端口和协议不受 SRX 系列设备上的流量选择器支持,协商将被拒绝。

了解 AutoVPN 部署中的分支身份验证

在 AutoVPN 部署中,中心和分支设备必须加载有效的 X. x.509 PKI 证书。您可以使用show security pki local-certificate detail命令显示有关设备中加载的证书的信息。

本主题介绍集线器上的配置,允许分支对中心进行身份验证和连接:

集线器上 IKE ID 配置组

组 IKE ID 功能允许许多分支设备在中心上共享 IKE 配置。证书持有者的标识在每个辐的 X.509 证书的主题或备选主题字段中,必须包含所有分支都通用的一部分;证书标识的常用部分为中心IKE配置指定。

例如,可在集线器上example.net配置 IKE ID,以识别具有主机名device1.example.netdevice2.example.netdevice3.example.net的分支。每个分支上的证书都必须在替代主题字段中包含一个主机example.net名标识,并在最右侧的部分中填写。例如, device1.example.net。在此示例中,所有分支在其 IKE ID 有效负载中使用此主机名标识。在 IKE 协商期间,分支中的 IKE ID 用于匹配在中心上配置的对等方 IKE 身份的共同部分。有效证书将对分支进行身份验证。

证书识别的通用部分可能是以下各项之一:

  • 例如example.net,证书的备用主题字段最右侧的部分主机名。

  • 例如@example.net,证书的备用主题字段最右侧的部分电子邮件地址。

  • 容器字符串、一组通配符或两者共同匹配证书的主题字段。主题字段包含数字证书持有者的详细信息,采用抽象语法表示法一(ASN 1)可分辨名称(DN)格式。字段可以包括组织、组织单位、国家/地区、地点或通用名称。

    要将组 IKE ID 配置为与证书中的主题字段匹配,您可以指定以下类型的身份匹配:

    • 容器 — 如果辐式证书IKE主题字段与在中心上配置的值完全一致,中心将验证辐的分支 ID。可为每个主题字段指定多个条目(例如ou=eng,ou=sw)。字段中的值顺序必须匹配。

    • 通配符 — 如果辐IKE的主题字段与在中枢上配置的值匹配,中心将验证辐的 id。通配符匹配仅支持每个字段一个值(例如, ou=engou=swou=eng,ou=sw)。字段的顺序为 inconsequential。

以下示例将组 IKE ID 与证书的备用主题字段example.net中的部分主机名进行配置。

在此示例中example.net ,是用于所有分支的主机名标识的通用部分。分支上的所有 x.509 证书都必须在最右边的主题字段example.net中包含主机名标识。所有分支都必须在其 IKE ID 有效负载中使用主机名标识。

以下示例使用通配符配置组 IKE ID,以匹配组织单位中sales的值和example证书的组织主题字段。

在此示例中,字段ou=sales,o=example是分支商预期的证书中的主题字段的常用部分。在 IKE 协商期间,如果分支在证书中显示主题字段cn=alice,ou=sales,o=example的证书,则身份验证成功且隧道已建立。如果分支机构提供证书中的主题字段cn=thomas,ou=engineer,o=example的证书,则该证书被中心拒绝为组织单位。 sales

不包括分支连接

要排除特定分支连接到中心,必须吊销该分支的证书。中心需要从 CA 中检索最新的证书吊销列表(CRL),其中包含已吊销证书的序列号。然后,中心将拒绝已吊销分支的 VPN 连接。在集线器中提供最新的 CRL 之前,集线器可能会继续从被吊销的分支建立隧道。有关详细信息,请参阅了解联机证书状态协议和证书吊销列表了解证书颁发机构配置文件

AutoVPN 配置概述

以下步骤介绍了在中心和分支设备上配置 AutoVPN 的基本任务。AutoVPN 集线器为所有当前和新分支配置一次

要配置 AutoVPN 中心:

  1. 在设备中注册 CA 证书和本地证书。
  2. 创建安全通道(st0)接口并在点对多点模式中配置。
  3. 配置单个 IKE 策略。
  4. 使用所有分支共用的组 IKE ID 配置 IKE 网关。
  5. 配置单个 IPsec 策略和 VPN。
  6. 配置动态路由协议。

要配置 SRX 系列 AutoVPN 分支设备:

  1. 在设备中注册 CA 证书和本地证书。

  2. 创建 st0 接口并在点对多点模式中配置。

  3. 配置 IKE 策略以匹配中心上配置的 IKE 策略。

  4. 使用 ID 配置 IKE 网关,以匹配集线器上配置的组 IKE ID。

  5. 配置 IPsec 策略以匹配中心上配置的 IPsec 策略。

  6. 配置动态路由协议。

示例:使用 iBGP 配置基本 AutoVPN

此示例演示如何将 AutoVPN 集线器配置为充当单个终结点,然后将两个分支配置为充当远程站点的隧道。此示例将 iBGP 配置为通过 VPN 隧道转发数据包。

要求

此示例使用以下硬件和软件组件:

  • AutoVPN 网络中心和分支即支持的三个 SRX 系列设备

  • Junos OS 版本 12.1 X 44-D10 和更高版本,支持 AutoVPN

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议的特定要求的详细信息,请参阅路由协议概述

概述

此示例显示了 AutoVPN 集线器的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。辐的证书在主题字段中包含组织单元 (OU) 值"SLT";中心配置了一组IKE ID,以与OU 字段中的值"SLT"匹配。

分支与中心建立 IPsec VPN 连接,允许它们相互通信,并访问中心上的资源。在 AutoVPN 集线器上配置的阶段1和阶段 2 IKE 通道选项,并且所有分支都必须具有相同的值。表 3显示了此示例中使用的选项。

表 3: AutoVPN 中心和分支配置的阶段1和阶段2选项

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

2

身份验证算法

SHA-1

加密算法

AES 128 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

身份验证算法

HMAC MD5 96

加密算法

DES CBC

IPsec 策略:

完全向前保密(PFS)组

14

在所有设备上配置相同的证书授权机构(CA)。

Junos OS 仅支持单一级别的证书层次结构。

表 4显示了在中心和所有分支上配置的选项。

表 4: 集线器和所有分支的 AutoVPN 配置

选项

集散

所有分支

IKE 网关:

远程 IP 地址

动态

1.1.1.1

远程 IKE ID

分支证书上的可分辨名称 (DN),带组织单元 SLT (OU) 字段中的字符串

中心证书上的 DN

本地 IKE ID

中心证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/1.0

分支1:fe-0/0/1.0

分支2:ge-0/0/1.0

UPN

绑定接口

st0.0

st0.0

建立隧道

(未配置)

立即在配置提交时

表 5显示了每个分支上不同的配置选项。

表 5: 分支配置之间的比较

选项

分支1

分支2

st 0.0 接口

10.10.10.2/24

10.10.10.3/24

内部网络接口

(fe-0.0/4.0) 60.60.60.1/24

(fe-0.0/4.0) 70.70.70.1/24

互联网接口

(fe-0/0/1.0) 2.2.2.1/30

(ge-0/0/1.0) 3.3.3.1/30

所有设备的路由信息都通过 VPN 隧道交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 1显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 1: 基本 AutoVPN 部署与 iBGP基本 AutoVPN 部署与 iBGP

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

分步过程

在分支上使用 SCEP 注册数字证书2:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 IKE 阶段1状态

用途

验证 IKE 阶段1状态。

行动

在操作模式下,输入show security ike security-associations 命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 阶段2状态

用途

验证 IPsec 阶段2状态。

行动

在操作模式下,输入security ipsec security-associations 命令。

含义

show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段2方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道

用途

验证 IPsec 下一跳隧道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels 命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 BGP

用途

验证 BGP 是否引用分支st0接口的 IP 地址。

行动

在操作模式下,输入show bgp summary命令。

验证获知的路由

用途

验证是否已了解到分支站点的路由。

行动

在操作模式下,输入show route 60.60.60.0 命令。

在操作模式下,输入show route 70.70.70.0 命令。

示例:使用 iBGP 为 IPv6 流量配置基本 AutoVPN

此示例演示如何将 AutoVPN 集线器配置为充当单个终结点,然后将两个分支配置为充当远程站点的隧道。此示例使用 iBGP 通过 VPN 隧道转发数据包,为 IPv6 环境配置 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 作为 AutoVPN 网络中心和分支的三个受支持的 SRX 系列设备。

  • Junos OS 版本 18.1 R1 和更高版本。

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议的特定要求的详细信息,请参阅路由协议概述

概述

此示例显示了 AutoVPN 集线器的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。辐的证书在主题字段中包含组织单元 (OU) 值"SLT";中心配置了一组IKE ID,以与OU 字段中的值"SLT"匹配。

分支与中心建立 IPsec VPN 连接,允许它们相互通信,并访问中心上的资源。在 AutoVPN 集线器上配置的阶段1和阶段 2 IKE 通道选项,并且所有分支都必须具有相同的值。表 6显示了此示例中使用的选项。

表 6: AutoVPN 中心和分支配置的阶段1和阶段2选项

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

19

身份验证算法

SHA-384

加密算法

AES 256 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

生存期秒数

3000

加密算法

AES 256 GCM

IPsec 策略:

完全向前保密(PFS)组

19

在所有设备上配置相同的证书授权机构(CA)。

Junos OS 仅支持单一级别的证书层次结构。

表 7显示了在中心和所有分支上配置的选项。

表 7: 集线器和所有分支的 AutoVPN 配置

选项

集散

所有分支

IKE 网关:

远程 IP 地址

动态

2001:db8:2000::1

远程 IKE ID

分支证书上的可分辨名称 (DN),带组织单元 SLT (OU) 字段中的字符串

中心证书上的 DN

本地 IKE ID

中心证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/0

分支1:ge-0/0/0.0

分支2:ge-0/0/0.0

UPN

绑定接口

st0.1

st0.1

建立隧道

(未配置)

建立隧道流量

表 8显示了每个分支上不同的配置选项。

表 8: 分支配置之间的比较

选项

分支1

分支2

st 0.0 接口

2001:db8:7000::2/64

2001:db8:7000::3/64

内部网络接口

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

互联网接口

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

所有设备的路由信息都通过 VPN 隧道交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 2显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 2: 基本 AutoVPN 部署与 iBGP基本 AutoVPN 部署与 iBGP

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

分步过程

在分支上使用 SCEP 注册数字证书2:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 IKE 状态

用途

验证 IKE 状态。

行动

在操作模式下,输入show security ike sa命令。

含义

show security ike sa命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 状态

用途

验证 IPsec 状态。

行动

在操作模式下,输入show security ipsec sa命令。

含义

show security ipsec sa命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段2方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道

用途

验证 IPsec 下一跳隧道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 BGP

用途

验证 BGP 是否引用分支st0接口的 IP 地址。

行动

在操作模式下,输入show bgp summary命令。

示例:使用 iBGP 和 ECMP 配置 AutoVPN

此示例演示如何在 AutoVPN 中心与分支之间配置两个 IPsec VPN 隧道。此示例将具有相同成本多路径(ECMP)的 iBGP 配置为通过 VPN 隧道转发数据包。

要求

此示例使用以下硬件和软件组件:

  • 作为 AutoVPN 中心和分支的两个受支持的 SRX 系列设备

  • Junos OS 版本 12.1 X 44-D10 和更高版本,支持 AutoVPN

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了使用两个 IPsec VPN 隧道的 AutoVPN 中心和分支的配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。证书在中心和每个 IPsec VPN 隧道的分支中注册。分支的其中一个证书包含可分辨名称 (DN) 中的组织单元 (OU) 值"SLT";中心配置了一组IKE ID,以与OU 字段中的值"SLT"匹配。辐的另一个证书在 DN 中包含 OU 值"SBU";中心配置了一组 IKE ID,以与OU 字段中的值"SBU"匹配。

分支与集线器建立 IPsec VPN 连接,使其可以访问中心上的资源。在 AutoVPN 集线器和分支上配置的阶段1和阶段 2 IKE 通道选项必须具有相同的值。表 9显示了此示例中使用的选项。

表 9: AutoVPN 中心和分支的阶段1和阶段2选项 iBGP ECMP 配置

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

2

身份验证算法

SHA-1

加密算法

AES 128 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

身份验证算法

HMAC MD5 96

加密算法

DES CBC

IPsec 策略:

完全向前保密(PFS)组

14

在所有设备上配置相同的证书授权机构(CA)。

Junos OS 仅支持单一级别的证书层次结构。

表 10显示了在集线器和分支上配置的选项。

表 10: 面向中心和分支的 AutoVPN iBGP ECMP 配置1

选项

集散

分支1

IKE 网关:

远程 IP 地址

hub-to-spoke-gw-1: 动态

hub-to-spoke-gw-2: 动态

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

远程 IKE ID

hub-to-spoke-gw-1: 分支证书上的 DN,带 SLT 在OU 字段中的字符串

hub-to-spoke-gw-2: 分支证书上的 DN,带 SBU 在OU 字段中的字符串

spoke-to-hub-gw-1: 中心证书上的 DN

spoke-to-hub-gw-2: 中心证书上的 DN

本地 IKE ID

中心证书上的 DN

分支证书上的 DN

外部接口

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

UPN

绑定接口

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

建立隧道

(未配置)

立即在配置提交时

所有设备的路由信息都通过 VPN 隧道交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 3显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 3: AutoVPN 部署与 iBGP 和 ECMPAutoVPN 部署与 iBGP 和 ECMP

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 为每个证书生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 为每个证书生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT用于 Local1 和SBU for Local2。中枢上的 IKE 配置包括OU=SLTOU=SBU识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 IKE 阶段1状态

用途

验证 IKE 阶段1状态。

行动

在操作模式下,输入show security ike security-associations 命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 阶段2状态

用途

验证 IPsec 阶段2状态。

行动

在操作模式下,输入security ipsec security-associations 命令。

含义

show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。第2阶段方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道

用途

验证 IPsec 下一跳隧道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels 命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 BGP

用途

验证 BGP 是否引用分支st0接口的 IP 地址。

行动

在操作模式下,输入show bgp summary命令。

验证获知的路由

用途

验证是否已了解到分支的路由。

行动

在操作模式下,输入show route 60.60.60.0 detail命令。

验证转发表中的路由安装

用途

验证到分支的路由是否已安装在转发表中。

行动

在操作模式下,输入show route forwarding-table matching 60.60.60.0命令。

示例:使用 iBGP 和活动备份隧道配置 AutoVPN

此示例说明如何配置 AutoVPN 中心与分支之间的主动和备份 IPsec VPN 隧道。此示例将 iBGP 配置为通过 VPN 隧道转发信息流。

要求

此示例使用以下硬件和软件组件:

  • 作为 AutoVPN 中心和分支的两个受支持的 SRX 系列设备

  • Junos OS 版本 12.1 X 44-D10 和更高版本,支持 AutoVPN

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了使用两个 IPsec VPN 隧道的 AutoVPN 中心和分支的配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。证书在中心和每个 IPsec VPN 隧道的分支中注册。分支的其中一个证书包含可分辨名称 (DN) 中的组织单元 (OU) 值"SLT";中心配置了一组IKE ID,以与OU 字段中的值"SLT"匹配。辐的另一个证书在 DN 中包含 OU 值"SBU";中心配置了一组 IKE ID,以与OU 字段中的值"SBU"匹配。

分支与集线器建立 IPsec VPN 连接,使其可以访问中心上的资源。在 AutoVPN 集线器和分支上配置的阶段1和阶段 2 IKE 通道选项必须具有相同的值。表 11显示了此示例中使用的选项。

表 11: AutoVPN 中心和分支的阶段1和阶段2选项 iBGP 动态备份通道配置

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

2

身份验证算法

SHA-1

加密算法

AES 128 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

身份验证算法

HMAC MD5 96

加密算法

DES CBC

IPsec 策略:

完全向前保密(PFS)组

14

在所有设备上配置相同的证书授权机构(CA)。

Junos OS 仅支持单一级别的证书层次结构。

表 12显示了在集线器和分支上配置的选项。

表 12: AutoVPN IBGP 中心和分支的活动备份通道配置1

选项

集散

分支1

IKE 网关:

远程 IP 地址

hub-to-spoke-gw-1: 动态

hub-to-spoke-gw-2: 动态

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

远程 IKE ID

hub-to-spoke-gw-1: 分支证书上的 DN,带 SLT 在OU 字段中的字符串

hub-to-spoke-gw-2: 分支证书上的 DN,带 SBU 在OU 字段中的字符串

spoke-to-hub-gw-1: 中心证书上的 DN

spoke-to-hub-gw-2: 中心证书上的 DN

本地 IKE ID

中心证书上的 DN

分支证书上的 DN

外部接口

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

UPN

绑定接口

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

VPN 监控

hub-to-spoke-vpn-1: ge-0/0/1.0 (源接口)

hub-to-spoke-vpn-2: ge-0/0/2.0 (源接口)

spoke-to-hub-1: 1.1.1.1 (目标 IP)

spoke-to-hub-2: 1.1.2.1 (目标 IP)

建立隧道

(未配置)

立即在配置提交时

所有设备的路由信息都通过 VPN 隧道交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 4显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 4: 具有 iBGP 和活动备份隧道的 AutoVPN 部署具有 iBGP 和活动备份隧道的 AutoVPN 部署

在此示例中,中心与分支1之间建立了两个 IPsec VPN 隧道。路由信息通过每个通道中的 iBGP 会话交换。到 60.60.60.0/24 的路由的最长前缀匹配是通过集线器上的 st 0.0 接口。因此,路由的主通道通过集线器上的 st 0.0 接口和分支1。默认路由通过集线器上 st 0.1 接口上的备份通道,而分支1。

VPN 监控检查隧道的状态。如果主通道存在问题(例如,无法到达远程通道网关),则通道状态将变为 down,而发送给 60.60.60.0/24 的数据将重新路由到备份通道。

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 为每个证书生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 为每个证书生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT用于 Local1 和SBU for Local2。中枢上的 IKE 配置包括OU=SLTOU=SBU识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 IKE 阶段1状态(两个隧道均已启动)

用途

在两个 IPSec VPN 隧道都启动时,验证 IKE 阶段1状态。

行动

在操作模式下,输入show security ike security-associations 命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 阶段2状态(两个隧道均已启动)

用途

验证两个 IPsec VPN 通道都已启动时的 IPsec 阶段2状态。

行动

在操作模式下,输入security ipsec security-associations 命令。

含义

show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。第2阶段方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道(两个隧道均已启动)

用途

验证 IPsec 下一跳隧道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels 命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 BGP (两个隧道均已启动)

用途

验证 BGP 在两个 IPsec VPN 隧道都st0启动时引用分支接口的 IP 地址。

行动

在操作模式下,输入show bgp summary命令。

验证获知的路由(两个隧道均已启动)

用途

验证在两个隧道都启动时,已了解到分支的路由。到 60.60.60.0/24 的路由通过 st 0.0 接口,默认路由通过 st 0.1 接口进行。

行动

在操作模式下,输入show route 60.60.60.0 命令。

在操作模式下,输入show route 0.0.0.0命令。

验证 IKE 阶段1状态(主通道关闭)

用途

验证主通道停机时,IKE 阶段1状态。

行动

在操作模式下,输入show security ike security-associations 命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 阶段2状态(主通道关闭)

用途

验证主通道停机时的 IPsec 阶段2状态。

行动

在操作模式下,输入security ipsec security-associations 命令。

含义

show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。第2阶段方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道(主通道关闭)

用途

验证 IPsec 下一跳通道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels 命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联,在本例中为备份 VPN 通道。

验证 BGP (主通道关闭)

用途

验证当主通道关闭时,BGP 引用st0分支接口的 IP 地址。

行动

在操作模式下,输入show bgp summary命令。

验证获知路由(主通道关闭)

用途

验证在主通道出现故障时,已了解到分支的路由。路由到 60.60.60.0/24 和默认路由通过 st 0.1 接口。

行动

在操作模式下,输入show route 60.60.60.0 命令。

在操作模式下,输入show route 0.0.0.0命令。

示例:使用 OSPF 配置基本 AutoVPN

此示例演示如何将 AutoVPN 集线器配置为充当单个终结点,然后将两个分支配置为充当远程站点的隧道。此示例将 OSPF 配置为通过 VPN 隧道转发数据包。

要求

此示例使用以下硬件和软件组件:

  • AutoVPN 网络中心和分支即支持的三个 SRX 系列设备

  • Junos OS 版本 12.1 X 44-D10 和更高版本,支持 AutoVPN

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了 AutoVPN 集线器的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。辐的证书在主题字段中包含组织单元 (OU) 值"SLT";中心配置了一组IKE ID,以与OU 字段中的值"SLT"匹配。

分支与中心建立 IPsec VPN 连接,允许它们相互通信,并访问中心上的资源。在 AutoVPN 集线器上配置的阶段1和阶段 2 IKE 通道选项,并且所有分支都必须具有相同的值。表 13显示了此示例中使用的选项。

表 13: AutoVPN 中心和分支的阶段1和阶段2选项基本 OSPF 配置

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

2

身份验证算法

SHA-1

加密算法

AES 128 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

身份验证算法

HMAC MD5 96

加密算法

DES CBC

IPsec 策略:

完全向前保密(PFS)组

14

在所有设备上配置相同的证书授权机构(CA)。

Junos OS 仅支持单一级别的证书层次结构。

表 14显示了在中心和所有分支上配置的选项。

表 14: AutoVPN 的中心和所有分支的基本 OSPF 配置

选项

集散

所有分支

IKE 网关:

远程 IP 地址

动态

1.1.1.1

远程 IKE ID

分支证书上的可分辨名称 (DN),带组织单元 SLT (OU) 字段中的字符串

中心证书上的 DN

本地 IKE ID

中心证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/1.0

分支1:fe-0/0/1.0

分支2:ge-0/0/1.0

UPN

绑定接口

st0.0

st0.0

建立隧道

(未配置)

立即在配置提交时

表 15显示了每个分支上不同的配置选项。

表 15: 基本 OSPF 分支配置之间的比较

选项

分支1

分支2

st 0.0 接口

10.10.10.2/24

10.10.10.3/24

内部网络接口

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

互联网接口

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

所有设备的路由信息都通过 VPN 隧道交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 5显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 5: OSPF 的基本 AutoVPN 部署OSPF 的基本 AutoVPN 部署

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

分步过程

在分支上使用 SCEP 注册数字证书2:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、、、、、和show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、、、、、和show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、、、、、和show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 IKE 阶段1状态

用途

验证 IKE 阶段1状态。

行动

在操作模式下,输入show security ike security-associations 命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 阶段2状态

用途

验证 IPsec 阶段2状态。

行动

在操作模式下,输入security ipsec security-associations 命令。

含义

show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段2方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道

用途

验证 IPsec 下一跳隧道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels 命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 OSPF

用途

验证 OSPF 是否引用分支st0接口的 IP 地址。

行动

在操作模式下,输入show ospf neighbor 命令。

验证获知的路由

用途

验证是否已了解到分支站点的路由。

行动

在操作模式下,输入show route 60.60.60.0 命令。

在操作模式下,输入show route 70.70.70.0 命令。

示例:使用 OSPFv3 配置 IPv6 流量 AutoVPN

此示例演示如何将 AutoVPN 集线器配置为充当单个终结点,然后将两个分支配置为充当远程站点的隧道。此示例使用 OSPFv3 通过 VPN 隧道转发数据包,为 IPv6 环境配置 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 作为 AutoVPN 网络中心和分支的三个受支持的 SRX 系列设备。

  • Junos OS 版本 18.1 R1 和更高版本。

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。

概述

此示例显示了在集线器上使用 OSPFv3 路由协议的 AutoVPN 配置,以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。辐的证书在主题字段中包含组织单元 (OU) 值"SLT";中心配置了一组IKE ID,以与OU 字段中的值"SLT"匹配。

分支与中心建立 IPsec VPN 连接,允许它们相互通信,并访问中心上的资源。在 AutoVPN 集线器上配置的阶段1和阶段 2 IKE 通道选项,并且所有分支都必须具有相同的值。表 16显示了此示例中使用的选项。

表 16: AutoVPN 中心和分支的阶段1和阶段2选项基本 OSPFv3 配置

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

19

身份验证算法

SHA-384

加密算法

AES 256 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

生存期秒数

3000

加密算法

AES 256 GCM

IPsec 策略:

完全向前保密(PFS)组

19

在所有设备上配置相同的证书授权机构(CA)。

表 17显示了在中心和所有分支上配置的选项。

表 17: 面向中枢和所有分支的 AutoVPN OSPFv3 配置

选项

集散

所有分支

IKE 网关:

远程 IP 地址

动态

2001:db8:2000::1

远程 IKE ID

分支证书上的可分辨名称 (DN),带组织单元 SLT (OU) 字段中的字符串

中心证书上的 DN

本地 IKE ID

中心证书上的 DN

分支证书上的 DN

外部接口

ge-0/0/0

分支1:ge-0/0/0.0

分支2:ge-0/0/0.0

UPN

绑定接口

st0.1

st0.1

建立隧道

(未配置)

立即在配置提交时

表 18显示了每个分支上不同的配置选项。

表 18: OSPFv3 辐射配置之间的比较

选项

分支1

分支2

st 0.1 接口

2001:db8:7000::2/64

2001:db8:7000::3/64

内部网络接口

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

互联网接口

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

所有设备的路由信息都通过 VPN 隧道交换。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 6显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 6: 基本 AutoVPN 部署与 OSPFv3基本 AutoVPN 部署与 OSPFv3

配置

要配置 AutoVPN,请执行以下任务:

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

分步过程

在分支上使用 SCEP 注册数字证书2:

  1. 配置 CA。

  2. 注册 CA 证书。

    yes 提示符下键入 证书颁发机构。

  3. 生成密钥对。

  4. 注册本地证书。

  5. 验证本地证书。

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、、、、、和show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、、、、、和show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支2:

  1. 配置接口。

  2. 配置路由协议。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

  5. 配置区域。

  6. 配置默认安全策略。

  7. 配置 CA 配置文件。

成果

从配置模式show interfaces,输入、 show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、、、、、和show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 IKE 状态

用途

验证 IKE 状态。

行动

在操作模式下,输入show security ike sa命令。

含义

show security ike sa命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 状态

用途

验证 IPsec 状态。

行动

在操作模式下,输入show security ipsec sa 命令。

含义

show security ipsec sa命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段2方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道

用途

验证 IPsec 下一跳隧道。

行动

在操作模式下,输入show security ipsec next-hop-tunnels命令。

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 OSPFv3

用途

验证 OSPFv3 是否引用分支st0接口的 IP 地址。

行动

在操作模式下,输入show ospf3 neighbor detail命令。

集散

分支1:

分支2:

示例:通过带有流量选择器的 AutoVPN 通道转发信息流

此示例说明如何配置流量选择器,而非动态路由协议,以便通过 AutoVPN 部署中的 VPN 通道转发数据包。配置流量选择器时,安全通道(st0)接口必须处于点对点模式。流量选择器同时配置在中心和分支设备上。

要求

此示例使用以下硬件和软件组件:

  • 在机箱集群中连接和配置两台 SRX 系列设备。机箱集群是 AutoVPN 集线器。

  • 配置为 AutoVPN 分支的 SRX 系列设备。

  • Junos OS 版本 12.3 X48-D10 或更高版本。

  • 在中心和分支设备中注册的数字证书,允许设备相互验证。

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。请参阅了解本地证书申请

  • 在每个设备中注册数字证书。请参阅示例:手动加载 CA 和本地证书。

概述

在此示例中,流量选择器在 AutoVPN 中心和分支上进行配置。只有符合配置的流量选择器的流量通过通道转发。在中心上,流量选择器配置有本地 IP 地址 192.0.0.0/8 和远程 IP 地址 172.0.0.0/8。在分支上,流量选择器配置有本地 IP 地址 172.0.0.0/8 和远程 IP 地址 192.0.0.0/8。

分支上配置的流量选择器 IP 地址可以是集线器上配置的流量选择器 IP 地址的子集。这称为流量选择器灵活匹配

AutoVPN 中心和分支上配置的某个阶段1和阶段 2 IKE 通道选项必须具有相同的值。表 19显示了此示例中使用的值:

表 19: 带流量选择器的 AutoVPN 中心和分支的阶段1和阶段2选项

选项

IKE 建议:

身份验证方法

rsa-签名

Diffie-hellman (DH)组

group5

身份验证算法

sha-1

加密算法

aes-256-cbc

IKE 策略:

状态

主页

真品

本地证书

IKE 网关:

动态

可分辨名称通配符 DC = Common_component

IKE 用户类型

组 IKE id

本地身份

可分辨名称

版本

v1-only

IPsec 建议:

Protocol

那样

身份验证算法

hmac-sha1-96

加密算法

aes-192-cbc

3600秒

150000 kb

IPsec 策略:

完全向前保密(PFS)组

group5

拓扑

图 7显示了要为此示例配置的 SRX 系列设备。

图 7: AutoVPN 与流量选择器 AutoVPN 与流量选择器

配置

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

从 Junos OS Release 15.1 X 49-D120,您可以在 [ reject-duplicate-connectionedit security ike gateway gateway-name dynamic] 层次结构级别配置 CLI 选项,以保留现有隧道会话并拒绝具有相同 IKE ID 的新通道的协商请求。默认情况下,建立具有相同 IKE ID 的新通道时,现有通道将被切断。仅reject-duplicate-connection当或ike-user-type group-ike-id配置为 IKE ike-user-type shared-ike-id网关时,才支持此选项;此aaa access-profile profile-name选项不支持此配置。

只有在确定 reestablishment reject-duplicate-connection应拒绝具有相同 IKE ID 的新隧道时,才能使用 CLI 选项。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置阶段1选项。

  3. 配置第2阶段选项。

  4. 配置证书信息。

  5. 配置安全区域。

成果

show interfaces配置模式,输入、 show security ikeshow security ipsecshow security pkishow security zones、、、和show security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置分支

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置中心:

  1. 配置接口。

  2. 配置阶段1选项。

  3. 配置第2阶段选项。

  4. 配置证书信息。

  5. 配置安全区域。

成果

show interfaces配置模式,输入、 show security ikeshow security ipsecshow security pkishow security zones、、、和show security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

验证

确认配置是否正常工作。

验证隧道

用途

验证在 AutoVPN 辐射与分支之间是否建立了隧道。

行动

从操作模式中输入中心show security ike security-associationsshow security ipsec security-associations的和命令。

从操作模式中输入分支show security ike security-associationsshow security ipsec security-associations的和命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。此show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。集线器显示一个到分支的活动通道,而分支向集线器显示一个活动通道。

如果没有列出 IKE 阶段1的 Sa,则表示相位1建立存在问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

如果没有为 IKE 阶段2列出任何 Sa,则表示阶段2建立时出现问题。检查配置中 IKE 策略参数和外部接口设置。第2阶段方案参数必须与中心和分支相匹配。

验证流量选择器

用途

验证流量选择器。

行动

从操作模式中输入中心show security ipsec traffic-selector interface-name st0.1 上的命令。

在操作模式中,输入show security ipsec traffic-selector interface-name st0.1 分支上的命令。

含义

流量选择器是 IKE 对等方之间的协议,用于在流量与指定的本地和远程地址对匹配时,允许流量通过通道。仅允许通过 SA 符合流量选择器的流量。在发起方与响应方(SRX 系列中心)之间协商流量选择器。

示例:通过 AutoVPN 和流量选择器确保 VPN 隧道的可用性

Georedundancy 是部署多个地理位置较远的站点,这样即使存在停电、自然灾害或其他影响站点的灾难性事件,流量也可以继续流过提供商网络。在移动提供商网络中,多个演进节点 B (eNodeB)设备可通过 SRX 系列设备上的 georedundant IPsec VPN 网关连接到核心网络。ENodeB 设备的备用路由使用动态路由协议分发到核心网络。

此示例在 SRX 系列设备上配置多个流量选择器的 AutoVPN 网络中心,以确保 georedundant IPsec VPN 网关与 eNodeB 设备相结合。自动路由插入(ARI)用于将路由自动插入集线器上路由表中的 eNodeB 设备。然后,ARI 路由通过路由路由BGP提供商的核心BGP。

要求

此示例使用以下硬件和软件组件:

  • 在机箱集群中连接和配置两台 SRX 系列设备。机箱集群是 AutoVPN 集线器 A。

  • 配置为 AutoVPN hub B 的 SRX 系列设备。

  • Junos OS 版本 12.3 X48-D10 或更高版本。

  • 可使用 AutoVPN 集线器建立 IPsec VPN 隧道的 eNodeB 设备。eNodeB 设备是使用 AutoVPN 集线器启动 VPN 通道的第三方网络设备提供商。

  • 在中心和 eNodeB 设备上注册的数字证书,允许设备相互验证。

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。请参阅了解本地证书申请

  • 在每个设备中注册数字证书。请参阅示例:手动加载 CA 和本地证书。

此示例使用 BGP 动态路由协议,向核心网络的 eNodeB 设备通告路由。

概述

在此示例中,两个 AutoVPN 集线器配置为 SRX 系列设备上的多个流量选择器,以便为 eNodeB 设备提供 georedundant IPsec VPN 网关。ARI 自动将路由插入集线器上的路由表中的 eNodeB 设备。然后,ARI 路由通过路由路由BGP提供商的核心BGP。

在 AutoVPN 集线器和 eNodeB 设备上配置的某些阶段1和阶段 2 IKE 通道选项必须具有相同的值。表 20显示了此示例中使用的值:

表 20: Georedundant AutoVPN 集线器的阶段1和阶段2选项

选项

IKE 建议:

身份验证方法

rsa-签名

Diffie-hellman (DH)组

group5

身份验证算法

sha-1

加密算法

aes-256-cbc

IKE 策略:

真品

本地证书

IKE 网关:

动态

可分辨名称通配符 DC = Common_component

IKE 用户类型

组 IKE id

死对等方检测

探测-空闲-隧道

本地身份

可分辨名称

版本

v2-only

IPsec 建议:

Protocol

那样

身份验证算法

hmac-sha1-96

加密算法

aes-256-cbc

IPsec 策略:

完全向前保密(PFS)组

group5

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述。为简单起见,SRX 系列设备上的配置允许所有类型的入站流量;不建议在生产部署中使用此配置。

拓扑

图 8显示了要为此示例配置的 SRX 系列设备。

图 8: Georedundant IPsec VPN 网关到 eNodeB 设备Georedundant IPsec VPN 网关到 eNodeB 设备

配置

配置中心 A

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置中心 A:

  1. 配置接口。

  2. 配置阶段1选项。

  3. 配置第2阶段选项。

  4. 配置 BGP 路由协议。

  5. 配置路由选项。

  6. 配置证书信息。

  7. 配置安全区域。

成果

从配置模式show interfaces show security ike,输入、 show security ipsecshow protocols bgpshow policy-optionsshow security pkishow security zones、、、、和show security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置中心 B

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置中心 B:

  1. 配置接口。

  2. 配置阶段1选项。

  3. 配置第2阶段选项。

  4. 配置 BGP 路由协议。

  5. 配置路由选项。

  6. 配置证书信息。

  7. 配置安全区域。

成果

show interfaces show security ike从配置模式,输入、 show security ipsecshow protocols bgpshow security pkishow security zones、、、和show security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置 eNodeB (示例配置)

分步过程
  1. 本示例中的 eNodeB 配置仅供参考。详细的 eNodeB 配置信息超出了本文档的范畴。ENodeB 配置必须包括以下信息:

    • 本地证书(X 509v3)和 IKE 身份信息

    • SRX 系列 IKE 身份信息和公共 IP 地址

    • 与 SRX 系列中心上的配置相匹配的阶段1和阶段2方案

成果

此示例中的 eNodeB 设备将 strongSwan 开源软件用于基于 IPsec 的 VPN 连接:

针对

确认配置是否正常工作。

验证 AutoVPN 集线器上的隧道

用途

验证 AutoVPN 集线器和 eNodeB 设备之间是否已建立隧道。

行动

从操作模式中输入中心show security ike security-associationsshow security ipsec security-associations的和命令。

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。此show security ipsec security-associations命令列出所有活动 IKE 第2阶段 sa。该集线器显示两个活动隧道,一个用于每个 eNodeB 设备。

如果没有列出 IKE 阶段1的 Sa,则表示相位1建立存在问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和 eNodeB 设备匹配。

如果没有为 IKE 阶段2列出任何 Sa,则表示阶段2建立时出现问题。检查配置中 IKE 策略参数和外部接口设置。第2阶段方案参数必须与中心和 eNodeB 设备匹配。

验证流量选择器

用途

验证流量选择器。

行动

在操作模式下,输入show security ipsec traffic-selector interface-name st0.1命令。

含义

流量选择器是 IKE 对等方之间的协议,用于在流量与指定的本地和远程地址对匹配时,允许流量通过通道。仅允许通过 SA 符合流量选择器的流量。在发起方与响应方(SRX 系列中心)之间协商流量选择器。

验证 ARI 路由

用途

验证 ARI 路由是否已添加到路由表中。

行动

在操作模式下,输入show route命令。

含义

自动路由插入(ARI)自动为远程网络和受远程通道端点保护的主机插入静态路由。路由是根据在信息流选择器中配置的远程 IP 地址创建的。对于流量选择器,配置的远程地址将作为路由插入与绑定到 VPN 的 st0 接口相关联的路由实例中。

将 eNodeB 目标 30.1.1.0/24 和 50.1.1.0/24 的静态路由添加到 SRX 系列中心上的路由表中。这些路由可通过 st 0.1 接口到达。

Example: Configuring AutoVPN with Pre-Shared Key

This example shows how to configure different IKE preshared key used by the VPN gateway to authenticate the remote peer. Similarly, to configure same IKE preshared key used by the VPN gateway to authenticate the remote peer.

Requirements

This example uses the following hardware and software components:

  • MX240, MX480, and MX960 with MX-SPC3 and Junos OS Release 21.1R1 that support AutoVPN
  • or SRX5000 line of devices with SPC3 and Junos OS Release 21.2R1 that support AutoVPN
  • or vSRX running iked and Junos OS Release 21.2R1 that support AutoVPN

Configure different IKE preshared key

To configure different IKE preshared key that the VPN gateway uses to authenticate the remote peer, perform these tasks.

  1. Configure the seeded preshared for IKE policy in the device with AutoVPN hub.

    or

    For example:

    or

  2. Display the pre-shared key for remote peer using gateway name and user-id.

    For example:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Configure the generated PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in step 2) in the ike policy on the remote peer device.

    For example:

  4. (Optional) To bypass the IKE ID validation and allow all IKE ID types, configure general-ikeid configuration statement under the [edit security ike gateway gateway_name dynamic] hierarchy level in the gateway.

Result

From the configuration mode, confirm your configuration by entering the show security command. If the output does not display the intended configuration, repeat the instructions in this example to correct the configuration.

Configure same IKE preshared key

To configure same IKE preshared key that the VPN gateway uses to authenticate the remote peer, perform these tasks.

  1. Configure the common pre-shared-key for ike policy in the device with AutoVPN hub.

    For example:

  2. Configure the common pre-shared-key on the ike policy for remote peer device.

    For example:

  3. (Optional) To bypass the IKE ID validation and allow all IKE ID types, configure general-ikeid configuration statement under the [edit security ike gateway gateway_name dynamic] hierarchy level in the gateway.

Result

From the configuration mode, confirm your configuration by entering the show security command. If the output does not display the intended configuration, repeat the instructions in this example to correct the configuration.

发布历史记录表
版本
说明
17.4R1
从 Junos OS Release 17.4 R1 开始,AutoVPN 上支持 IPv6 地址。
17.4R1
从 Junos OS Release 17.4 R1 开始,AutoVPN 网络在点对点模式下使用安全通道接口支持流量选择器和 IKE 对等方的 IPv6 地址。
15.1X49-D120
从 Junos OS Release 15.1 X 49-D120,您可以在 [ reject-duplicate-connectionedit security ike gateway gateway-name dynamic] 层次结构级别配置 CLI 选项,以保留现有隧道会话并拒绝具有相同 IKE ID 的新通道的协商请求。