基于 CoS 的 IPsec VPN
您可以配置 Junos 服务等级 (CoS) 功能,为 VPN 提供多个服务等级。在设备上,您可以为传输数据包配置多个转发类,定义将哪些数据包放入每个输出队列,为每个队列安排传输服务级别,以及管理拥塞。
了解具有多个 IPsec SA 的基于 CoS 的 IPsec VPN
SRX 系列设备上配置的服务等级 (CoS) 转发类 (FC) 可以映射到 IPsec 安全关联 (SA)。每个 FC 的数据包均映射到不同的 IPsec SA,从而在本地设备和中间路由器上提供 CoS 处理。
- 具有多个 IPsec SA 的基于 CoS 的 IPsec VPN 的优势
- 概述
- 将 FC 映射到 IPsec SA
- IPsec SA 协商
- 重新密钥
- 在 VPN 中添加或删除 FC
- 失效对等方检测 (DPD)
- 命令
- 支持的 VPN 功能
具有多个 IPsec SA 的基于 CoS 的 IPsec VPN 的优势
有助于确保不同的数据流,每个隧道都使用一组单独的安全关联。
有助于促进需要差异化流量(例如 IP 语音)的 IPsec VPN 部署。
概述
此功能是瞻博网络的专有技术,可与受支持的 SRX 平台和 Junos OS 版本配合使用。VPN 对等设备必须是支持此功能的 SRX 系列设备或 vSRX 实例,或者以与 SRX 系列设备相同的方式支持相同功能的任何其他产品。
将 FC 映射到 IPsec SA
可以为位于 [edit security ipsec vpn vpn-name] 层次结构级别的 VPN multi-sa forwarding-classes 配置多达 8 个转发类 (FC)。与对等网关协商的 IPsec SA 数量基于为 VPN 配置的 FC 数量。FC 与 IPsec SA 的映射适用于为 VPN 配置的所有流量选择器。
为特定 VPN 的 FC 创建的所有 IPsec SA 都由相同的隧道 ID 表示。隧道相关事件会考虑所有 IPsec SA 的状态和统计信息。与隧道相关的所有 IPsec SA 都锚定在 SRX 系列设备或 vSRX 实例上的同一 SPU 或相同的线程 ID 上。
IPsec SA 协商
为一个 VPN 配置多个 FC 时,将为每个 FC 与对等方协商一个唯一的 IPsec SA。此外,会协商默认 IPsec SA 以发送与配置的 FC 不匹配的数据包。即使 VPN 对等设备未为 FC 配置或不支持 FC 到 IPsec SA 映射,也会协商默认 IPsec。默认 IPsec SA 是要协商的第一个 IPsec SA,也是最后一个要拆除的 SA。
具体取决于配置的 FC 数量。当 IPsec SA 正在协商时,数据包可能会随尚未协商 IPsec SA 的 FC 一起送达。在协商给定 FC 的 IPsec SA 之前,流量会发送到默认的 IPsec SA。使用 FC 与已安装的任何 IPsec SA 不匹配的数据包将采用默认 IPsec SA 发送。
FC 到 IPsec SA 的映射在本地 VPN 网关上完成。本地网关和对等网关可能按不同顺序配置 FC。每个对等网关按完成 IPsec SA 协商的顺序映射 FC。因此,本地网关和对等网关可能具有不同的 FC 到 IPsec SA 映射。达到配置的 FC 数量后,网关将停止协商新的 IPsec SA。对等网关发起的 IPsec SA 可能比本地网关上配置的 FC 数量更多。在这种情况下,本地网关接受附加的 IPsec SA 请求—最多 18 个 IPsec SA。本地网关仅使用其他 IPsec SA 对传入的 IPsec 流量进行解密。如果收到的数据包的 FC 与任何配置的 FC 不匹配,则数据包将按默认 FC IPsec SA 发送。
如果从对等设备收到默认 IPsec SA 的删除通知,则只会删除默认 IPsec SA,并且会重新协商默认 IPsec SA。在此期间,可能会进入默认 IPsec SA 的流量将被丢弃。只有当默认 IPsec SA 是最后一个 SA 时,VPN 隧道才会关闭。
establish-tunnels immediately如果为 VPN 配置并提交选项,则 SRX 系列设备将协商 IPsec SA,无需等待流量到达。如果已配置 FC 的 IPsec SA 协商未完成,则每 60 秒重新尝试一次协商。
establish-tunnels on-traffic如果为 VPN 配置了选项,则 SRX 系列设备在第一个数据包到达时协商 IPsec SA;第一个数据包的 FC 并不重要。使用任一选项,先协商默认 IPsec SA,然后按照在设备上配置 FC 的顺序逐个协商每个 IPsec SA。
重新密钥
当对流量选择器使用具有差异化服务代码点 (DSCP) 流量定向的多 SA 时,在重新密钥期间会出现以下行为。当流量选择器执行重新密钥时,如果一个或多个流量选择器因任何原因无法重新密钥,特定 SA 将在生存期到期时关闭。在这种情况下,用于匹配特定 SA 的流量将改为通过默认流量选择器发送。
在 VPN 中添加或删除 FC
从 VPN 中添加或删除 FC 时,将启动或关闭 VPN 的 IKE 和 IPsec SA 并重新启动协商。命令将 clear security ipsec security-associations 清除所有 IPsec SA。
失效对等方检测 (DPD)
使用此功能配置 DPD 后, optimized 仅当任何 IPsec SA 上存在传出流量且没有传入流量时,该模式才会发送探测。probe-idle仅当任何 IPsec SA 上没有传出和没有传入流量时,模式才会发送探测。DPD 功能不支持 VPN 监控。
命令
命令 show security ipsec sa details index tunnel-id 将显示所有 IPsec SA 详细信息,包括 FC 名称。命令 show security ipsec stats index tunnel-id 会显示每个 FC 的统计信息。
支持的 VPN 功能
基于 CoS 的 IPsec VPN 支持以下 VPN 功能:
基于路由的站点到站点 VPN。不支持基于策略的 VPN。
AutoVPN。
流量选择器。
自动发现 VPN (ADVPN)。
IKEv2。不支持 IKEv1。
失效对等方检测 (DPD)。不支持 VPN 监控。
另请参阅
了解流量选择器和基于 CoS 的 IPsec VPN
流量选择器是 IKE 对等方之间的协议,允许流量通过 VPN 隧道(如果流量与指定的本地和远程地址对匹配)。通过关联安全关联 (SA) 仅允许符合流量选择器的流量。
基于 CoS 的 IPsec VPN 功能支持以下场景
使用相同 FC 的基于路由的站点到站点 VPN 中的一个或多个流量选择器。
多个流量选择器,每个流量选择器使用不同的 FC。此方案需要单独的 VPN 配置。
本主题介绍针对每种场景协商的 VPN 配置和 IPsec SA。
在以下情况下,SRX 系列设备上配置了三个 FC:
forwarding-classes {
queue 7 voip-data;
queue 6 web-data;
queue 5 control-data;
}
在第一个场景中,VPN vpn1 配置了单个流量选择器 ts1 和三个 FC:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
在上述配置中,将协商四个 IPsec SA 以用于流量选择或 ts1—一个用于默认 IPsec SA,三个用于映射到 FC 的 IPsec SA。
在第二个场景中,VPN vpn1 配置了两个流量选择器 ts1 和 ts2 以及三个 FC:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
ts2 {
local-ip 6.6.6.0/24;
remote-ip 7.7.7.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
在上述配置中,为流量选择或 ts1 协商 4 个 IPsec SA,为流量选择或 ts2 协商 4 个 IPsec SA。对于每个流量选择器,都会为默认 IPsec SA 协商一个 IPsec SA,为映射到 FC 的 IPsec SA 协商三个 IPsec SA。
在第三种场景中,流量选择器 ts1 和 ts2 支持不同的 FC 集。需要为不同的 VPN 配置流量选择器:
ipsec {
vpn vpn1 {
bind-interface st0.0;
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data;
forwarding-class control-data;
}
vpn vpn2 {
bind-interface st0.0;
ts2 {
local-ip 6.6.6.0/24;
remote-ip 7.7.7.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data;
}
}
在上述配置中,为 VPN vpn1 中的流量选择或 ts1 协商四个 IPsec SA,一个用于默认 IPsec SA,三个用于映射到 FC 的 IPsec SA。
另请参阅
示例:配置基于 CoS 的 IPsec VPN
此示例说明如何配置具有多个 IPsec SA 的基于 CoS 的 IPsec VPN,以便允许每个转发类的数据包映射到不同的 IPsec SA,从而在本地设备和中间路由器上提供 CoS 处理。
此功能是瞻博网络的专有技术,仅适用于受支持的 SRX 平台和 Junos OS 版本。VPN 对等设备必须是支持此功能的 SRX 系列设备或 vSRX 实例。
要求
此示例使用以下硬件:
任何 SRX 系列设备
开始之前:
了解如何将 SRX 系列设备上配置的服务等级 (CoS) 转发类 (FC) 映射到 IPsec 安全关联 (SA)。请参阅了解具有多个 IPsec SA 的基于 CoS 的 IPsec VPN。
了解流量选择器和基于 CoS 的 IPsec VPN。请参阅了解流量选择器和基于 CoS 的 IPsec VPN。
概述
在此示例中,您为芝加哥的分支机构配置基于 IPsec 路由的 VPN,因为您不需要保护隧道资源或配置许多安全策略来过滤通过隧道的流量。芝加哥办事处的用户将使用 VPN 连接到位于森尼维尔的公司总部。
图 1 显示了基于 IPsec 路由的 VPN 拓扑的示例。在此拓扑中,一个 SRX 系列设备位于桑尼维尔,一个 SRX 系列设备位于芝加哥。
在此示例中,您将配置接口、IPv4 默认路由和安全区域。然后,配置 IKE、IPsec、安全策略和 CoS 参数。查看 表 1 到 表 4。
功能 |
姓名 |
配置参数 |
|---|---|---|
接口 |
ge-0/0/0.0 |
192.0.2.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
|
st0.0(隧道接口) |
10.10.11.10/24 |
|
静态路由 |
0.0.0.0/0(默认路由) |
下一跃点为 st0.0。 |
安全区域 |
信任 |
|
untrust |
|
|
vpn |
st0.0 接口绑定到此区域。 |
功能 |
姓名 |
配置参数 |
|---|---|---|
建议 |
ike 提议 |
|
策略 |
ike 策略 |
|
网关 |
gw-sunnyvale |
|
功能 |
姓名 |
配置参数 |
|---|---|---|
建议 |
ipsec_prop |
|
策略 |
ipsec_pol |
|
VPN |
ipsec_vpn1 |
|
目的 |
姓名 |
配置参数 |
|---|---|---|
安全策略允许从信任区域到 VPN 区域的流量。 |
vpn |
|
安全策略允许从 VPN 区域到信任区域的流量。 |
vpn |
|
配置
配置基本网络和安全区域信息
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.10.11.10/24 set routing-options static route 0.0.0.0/0 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago host-inbound-traffic protocols all set security zones security-zone vpn-chicago host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone untrust host-inbound-traffic protocols all
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。
要配置接口、静态路由和安全区域信息:
配置以太网接口信息。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.10.11.10/24
配置静态路由信息。
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop st0.0
配置不信任安全区域。
[edit ] user@host# edit security zones security-zone untrust
为不信任安全区域指定允许的系统服务。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all
为安全区域分配接口。
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
为安全区域指定允许的系统服务。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
配置信任安全区域。
[edit] user@host# edit security zones security-zone trust
将接口分配给信任安全区域。
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
为信任安全区域指定允许的系统服务。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all
配置 VPN 安全区域。
[edit] user@host# edit security zones security-zone vpn
为安全区域分配接口。
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0 user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all
结果
在配置模式下,输入 、 show routing-options和show security zones命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.11.10/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
}
}
完成设备配置后,请从配置模式进入 commit 。
配置 CoS
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class best-effort loss-priority high code-points 000000 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001010 set class-of-service classifiers dscp ba-classifier forwarding-class network-control loss-priority high code-points 000011 set class-of-service classifiers dscp ba-classifier forwarding-class res-class loss-priority high code-points 000100 set class-of-service classifiers dscp ba-classifier forwarding-class web-data loss-priority high code-points 000101 set class-of-service classifiers dscp ba-classifier forwarding-class control-data loss-priority high code-points 000111 set class-of-service classifiers dscp ba-classifier forwarding-class voip-data loss-priority high code-points 000110 set class-of-service forwarding-classes queue 7 voip-data set class-of-service forwarding-classes queue 6 control-data set class-of-service forwarding-classes queue 5 web-data set class-of-service forwarding-classes queue 4 res-class set class-of-service forwarding-classes queue 2 af-class set class-of-service forwarding-classes queue 1 ef-class set class-of-service forwarding-classes queue 0 best-effort set class-of-service forwarding-classes queue 3 network-control set class-of-service interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map sched_1 set class-of-service scheduler-maps sched_1 forwarding-class voip-data scheduler Q7 set class-of-service scheduler-maps sched_1 forwarding-class control-data scheduler Q6 set class-of-service scheduler-maps sched_1 forwarding-class web-data scheduler Q5 set class-of-service scheduler-maps sched_1 forwarding-class res-class scheduler Q4 set class-of-service scheduler-maps sched_1 forwarding-class af-class scheduler Q2 set class-of-service scheduler-maps sched_1 forwarding-class ef-class scheduler Q1 set class-of-service scheduler-maps sched_1 forwarding-class best-effort scheduler Q0 set class-of-service scheduler-maps sched_1 forwarding-class network-control scheduler Q3 set class-of-service schedulers Q7 transmit-rate percent 5 set class-of-service schedulers Q7 priority strict-high set class-of-service schedulers Q6 transmit-rate percent 25 set class-of-service schedulers Q6 priority high set class-of-service schedulers Q5 transmit-rate remainder set class-of-service schedulers Q5 priority high set class-of-service schedulers Q4 transmit-rate percent 25 set class-of-service schedulers Q4 priority medium-high set class-of-service schedulers Q3 transmit-rate remainder set class-of-service schedulers Q3 priority medium-high set class-of-service schedulers Q2 transmit-rate percent 10 set class-of-service schedulers Q2 priority medium-low set class-of-service schedulers Q1 transmit-rate percent 10 set class-of-service schedulers Q1 priority medium-low set class-of-service schedulers Q0 transmit-rate remainder set class-of-service schedulers Q0 priority low
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。
要配置 CoS:
为 DiffServ CoS 配置行为聚合分类器。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
配置尽力转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class best-effort loss-priority high code-points 000000
定义要分配给转发类的 DSCP 值。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 000001 user@host# set forwarding-class af-class loss-priority high code-points 001010 user@host# set forwarding-class network-control loss-priority high code-points 000011 user@host# set forwarding-class res-class loss-priority high code-points 000100 user@host# set forwarding-class web-data loss-priority high code-points 000101 user@host# set forwarding-class control-data loss-priority high code-points 000111 user@host# set forwarding-class voip-data loss-priority high code-points 000110
为八个队列定义八个转发类(队列名称)。
[edit class-of-service forwarding-classes] user@host# set queue 7 voip-data user@host# set queue 6 control-data user@host# set queue 5 web-data user@host# set queue 4 res-class user@host# set queue 2 af-class user@host# set queue 1 ef-class user@host# set queue 0 best-effort user@host# set queue 3 network-control
在入口 (ge) 接口上配置分类器。
[edit class-of-service] user@host# set interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
将调度器图应用于 ge 接口。
[edit class-of-service] user@host# set interfaces ge-0/0/3 unit 0 scheduler-map sched_1
配置调度器图,将调度器与定义的转发类相关联。
[edit class-of-service] user@host# set scheduler-maps sched_1 forwarding-class voip-data scheduler Q7 user@host# set scheduler-maps sched_1 forwarding-class control-data scheduler Q6 user@host# set scheduler-maps sched_1 forwarding-class web-data scheduler Q5 user@host# set scheduler-maps sched_1 forwarding-class res-class scheduler Q4 user@host# set scheduler-maps sched_1 forwarding-class af-class scheduler Q2 user@host# set scheduler-maps sched_1 forwarding-class ef-class scheduler Q1 user@host# set scheduler-maps sched_1 forwarding-class best-effort scheduler Q0 user@host# set scheduler-maps sched_1 forwarding-class network-control scheduler Q3
定义具有优先级和传输速率的调度器。
[edit set class-of-service] user@host# set schedulers Q7 transmit-rate percent 5 user@host# set schedulers Q7 priority strict-high user@host# set schedulers Q6 transmit-rate percent 25 user@host# set schedulers Q6 priority high user@host# set schedulers Q5 transmit-rate remainder user@host# set schedulers Q5 priority high user@host# set schedulers Q4 transmit-rate percent 25 user@host# set schedulers Q4 priority medium-high user@host# set schedulers Q3 transmit-rate remainder user@host# set schedulers Q3 priority medium-high user@host# set schedulers Q2 transmit-rate percent 10 user@host# set schedulers Q2 priority medium-low user@host# set schedulers Q1 transmit-rate percent 10 user@host# set schedulers Q1 priority medium-low user@host# set schedulers Q0 transmit-rate remainder user@host# set schedulers Q0 priority low
结果
在配置模式下,输入命令以确认 show class-of-service 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class best-effort {
loss-priority high code-points 000000;
}
forwarding-class ef-class {
loss-priority high code-points 000001;
}
forwarding-class af-class {
loss-priority high code-points 001010;
}
forwarding-class network-control {
loss-priority high code-points 000011;
}
forwarding-class res-class {
loss-priority high code-points 000100;
}
forwarding-class web-data {
loss-priority high code-points 000101;
}
forwarding-class control-data {
loss-priority high code-points 000111;
}
forwarding-class voip-data {
loss-priority high code-points 000110;
}
}
}
forwarding-classes {
queue 7 voip-data;
queue 6 control-data;
queue 5 web-data;
queue 4 res-class;
queue 2 af-class;
queue 1 ef-class;
queue 0 best-effort;
queue 3 network-control;
}
interfaces {
ge-0/0/3 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map sched_1;
}
}
}
scheduler-maps {
sched_1 {
forwarding-class voip-data scheduler Q7;
forwarding-class control-data scheduler Q6;
forwarding-class web-data scheduler Q5;
forwarding-class res-class scheduler Q4;
forwarding-class af-class scheduler Q2;
forwarding-class ef-class scheduler Q1;
forwarding-class best-effort scheduler Q0;
forwarding-class network-control scheduler Q3;
}
}
schedulers {
Q7 {
transmit-rate percent 5;
priority strict-high;
}
Q6 {
transmit-rate percent 25;
priority high;
}
Q5 {
transmit-rate {
remainder;
}
priority high;
}
Q4 {
transmit-rate percent 25;
priority medium-high;
}
Q3 {
transmit-rate {
remainder;
}
priority medium-high;
}
Q2 {
transmit-rate percent 10;
priority medium-low;
}
Q1 {
transmit-rate percent 10;
priority medium-low;
}
Q0 {
transmit-rate {
remainder;
}
priority low;
}
}
完成设备配置后,请从配置模式进入 commit 。
配置 IKE
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security ike proposal ike-proposal authentication-method pre-shared-keys set security ike proposal ike-proposal dh-group group14 set security ike proposal ike-proposal authentication-algorithm sha-256 set security ike proposal ike-proposal encryption-algorithm aes-256-cbc set security ike policy ike-policy mode main set security ike policy ike-policy proposals ike-proposal set security ike policy ike-policy pre-shared-key ascii-text $ABC123 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike policy ike-policy set security ike gateway gw-sunnyvale address 10.2.2.2 set security ike gateway gw-sunnyvale version v2-only
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。
要配置 IKE:
创建 IKE 提议。
[edit security ike] user@host# set proposal ike-proposal
定义 IKE 提议身份验证方法。
[edit security ike proposal ike-proposal] user@host# set authentication-method pre-shared-keys
定义 IKE 提议 Diffie-Hellman 组。
[edit security ike proposal ike-proposal] user@host# set dh-group group14
定义 IKE 提议身份验证算法。
[edit security ike proposal ike-proposal] user@host# set authentication-algorithm sha-256
定义 IKE 提议加密算法。
[edit security ike proposal ike-proposal] user@host# set encryption-algorithm aes-256-cbc
创建 IKE 策略。
[edit security ike] user@host# set policy ike-policy
设置 IKE 策略模式。
[edit security ike policy ike-policy] user@host# set mode main
指定对 IKE 提议的引用。
[edit security ike policy ike-policy] user@host# set proposals ike-proposal
定义 IKE 策略身份验证方法。
[edit security ike policy ike-policy] user@host# set pre-shared-key ascii-text $ABC123
创建 IKE 网关并定义其外部接口。
[edit security ike] user@host# set gateway gw-sunnyvale external-interface ge-0/0/3.0
定义 IKE 策略参考。
[edit security ike gateway gw-sunnyvale] user@host# set ike policy ike-policy
定义 IKE 网关地址。
[edit security ike gateway gw-sunnyvale] user@host# set address 10.2.2.2
定义 IKE 网关版本。
[edit security ike gateway gw-sunnyvale] user@host# set version v2-only
结果
在配置模式下,输入命令以确认 show security ike 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike-policy {
mode main;
proposals ike-proposal;
pre-shared-key ascii-text "$ABC123";
}
gateway gw-sunnyvale {
ike policy ike-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
完成设备配置后,请从配置模式进入 commit 。
配置 IPsec
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security ipsec traceoptions flag all set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha-256 set security ipsec proposal ipsec_prop encryption-algorithm aes256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 3600 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn ipsec_vpn1 bind-interface st0.0 set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class ef-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class af-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class res-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class web-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class control-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class voip-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class network-control set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class best-effort set security ipsec vpn ipsec_vpn1 ike gateway gw_sunnyvale set security ipsec vpn ipsec_vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn ipsec_vpn1 establish-tunnels immediately set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25 set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。
要配置 IPsec:
启用 IPsec 追踪选项。
[edit] user@host# set security ipsec traceoptions flag all
创建 IPsec 提议。
[edit] user@host# set security ipsec proposal ipsec_prop
指定 IPsec 提议协议。
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
指定 IPsec 提议身份验证算法。
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-sha-256
指定 IPsec 提议加密算法。
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm aes256-cbc
指定 IPsec 安全关联 (SA) 的生存期(以秒为单位)。
[set security ipsec proposal ipsec_prop] user@host# set lifetime-seconds 3600
创建 IPsec 策略。
[edit security ipsec] user@host# set policy ipsec_pol
指定 IPsec 提议参考。
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
指定要绑定的接口。
[edit security ipsec] user@host# set vpn ipsec_vpn1 bind-interface st0.0
配置转发类到多个 IPsec SA。
[edit security ipsec] user@host# set vpn ipsec_vpn1 multi-sa forwarding-class ef-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class af-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class res-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class web-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class control-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class voip-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class network-control user@host# set vpn ipsec_vpn1 multi-sa forwarding-class best-effort
指定 IKE 网关。
[edit security ipsec] user@host# set vpn ipsec_vpn1 ike gateway gw_sunnyvale
指定 IPsec 策略。
[edit security ipsec] user@host# set vpn ipsec_vpn1 ike ipsec-policy ipsec_pol
指定当第一个数据包到达要发送的数据包时,立即启动隧道以协商 IPsec SA。
[edit security ipsec] user@host# set vpn ipsec_vpn1 establish-tunnels immediately
为流量选择器配置本地 IP 地址。
[edit security ipsec] user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25
为流量选择器配置远程 IP 地址。
[edit security ipsec] user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
结果
在配置模式下,输入命令以确认 show security ipsec 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
proposal ipsec_prop {
lifetime-seconds 3600;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn ipsec_vpn1 {
bind-interface st0.0;
multi-sa {
forwarding-class ef-class;
forwarding-class af-class;
forwarding-class res-class;
forwarding-class web-data;
forwarding-class control-data;
forwarding-class voip-data;
forwarding-class network-control;
forwarding-class best-effort;
}
ike {
gateway gw_sunnyvale;
ipsec-policy ipsec_pol;
}
traffic-selector ipsec_vpn1_TS1 {
local-ip 203.0.113.2/25;
remote-ip 192.0.2.30/24;
}
establish-tunnels immediately;
}
完成设备配置后,请从配置模式进入 commit 。
配置安全策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago set security policies from-zone trust to-zone vpn policy vpn match application any set security policies from-zone trust to-zone vpn policy vpn then permit set security policies from-zone vpn to-zone trust policy vpn match source-address chicago set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale set security policies from-zone vpn to-zone trust policy vpn match application any set security policies from-zone vpn to-zone trust policy vpn then permit
启用安全策略跟踪选项,用于对策略相关问题进行故障排除。
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。
要配置安全策略:
创建安全策略以允许从信任区域到 VPN 区域的流量。
[edit security policies from-zone trust to-zone vpn] user@host# set policy vpn match source-address sunnyvale user@host# set policy vpn match destination-address chicago user@host# set policy vpn match application any user@host# set policy vpn then permit
创建安全策略以允许从 VPN 区域到信任区域的流量。
[edit security policies from-zone vpn to-zone trust] user@host# set policy vpn match source-address chicago user@host# set policy vpn match destination-address sunnyvale user@host# set policy vpn match application any user@host# set policy vpn then permit
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security policies
from-zone trust to-zone vpn {
policy vpn {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy vpn {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
确认配置工作正常。
验证 IPsec 安全关联
目的
验证 IPsec 状态。
行动
在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号后,使用 show security ipsec security-associations index 131073 detail and show security ipsec statistics index 131073 命令。
为简洁起想,show 命令输出不会显示配置的所有值。仅显示配置的子集。系统上的其他配置已被椭圆 (...) 取代。
user@host> show security ipsec security-associations Total active tunnels: 2 Total Ipsec sas: 18 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes256/sha256 2d8e710b 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 5f3a3239 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 5d227e19 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 5490da 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 211fb8bc 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 dde29cd0 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 49b64080 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 314afea0 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 fec6f6ea 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 428a3a0d 1949/ unlim - root 500 5.0.0.1 ...
user@host> show security ipsec security-associations index 131073 detail
ID: 131073 Virtual-system: root, VPN Name: IPSEC_VPN1
Local Gateway: 4.0.0.1, Remote Gateway: 5.0.0.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 500, Nego#: 18, Fail#: 0, Def-Del#: 0 Flag: 0x600a39
Multi-sa, Configured SAs# 9, Negotiated SAs#: 9
Tunnel events:
Mon Apr 23 2018 22:20:54 -0700: IPSec SA negotiation successfully completed (1 times)
Mon Apr 23 2018 22:20:54 -0700: IKE SA negotiation successfully completed (2 times)
Mon Apr 23 2018 22:20:18 -0700: User cleared IKE SA from CLI, corresponding IPSec SAs cleared (1 times)
Mon Apr 23 2018 22:19:55 -0700: IPSec SA negotiation successfully completed (2 times)
Mon Apr 23 2018 22:19:23 -0700: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Mon Apr 23 2018 22:19:23 -0700: Bind-interface's zone received. Information updated (1 times)
Mon Apr 23 2018 22:19:23 -0700: External interface's zone received. Information updated (1 times)
Direction: inbound, SPI: 2d8e710b, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1563 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: default
Direction: outbound, SPI: 5f3a3239, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1563 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: default
Direction: inbound, SPI: 5d227e19, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1551 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: best-effort
Direction: outbound, SPI: 5490da, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1551 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
...user@host> show security ipsec statistics index 131073 ESP Statistics: Encrypted bytes: 952 Decrypted bytes: 588 Encrypted packets: 7 Decrypted packets: 7 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 FC Name Encrypted Pkts Decrypted Pkts Encrypted bytes Decrypted bytes best-effort 7 7 952 588 custom_q1 0 0 0 0 custom_q2 0 0 0 0 network-control 0 0 0 0 custom_q4 0 0 0 0 custom_q5 0 0 0 0 custom_q6 0 0 0 0 custom_q7 0 0 0 0 default 0 0 0 0
含义
命令的 show security ipsec security-associations 输出列出了以下信息:
ID 编号为 131073。将此值与 show security ipsec security-associations index 命令一起使用,可获取有关此特定 SA 的更多信息。
有一个使用端口 500 的 IPsec SA 对。
两个方向都显示 SAPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。1949/unlim 值表示阶段生存期将在 1949 秒后过期,并且尚未指定生存大小时,表示其没有限制。
如 Mon 列中的连字符所示,未为此 SA 启用 VPN 监控。如果启用了 VPN 监控,U 表示监控已启动,D 表示监控已关闭。
命令 show security ike security-associations index 131073 detail 会列出索引号为131073 SA 的其他信息:
本地身份和远程身份构成 SA 的代理 ID。代理 ID 不匹配是导致阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认阶段提议(包括代理 ID 设置)对于两个对等方都正确。
显示所有子 SA 详细信息,包括转发类名称。
命令 show security ipsec statistics index 131073 会列出每个转发类名称的统计信息。
输出中的错误值为零表示正常情况。
我们建议多次运行此命令,以观察 VPN 上出现的任何丢包问题。此命令的输出还显示加密和解密数据包计数器、错误计数器等的统计信息。
必须启用安全流跟踪选项,以调查哪些 ESP 数据包遇到错误以及原因。
了解 st0 接口上的 CoS 支持
从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,现在可以在安全隧道接口 (st0) 上为点对点 VPN 配置服务等级 (CoS) 功能,例如分类器、监管器、队列、调度、整形、重写标记和虚拟通道。
st0 隧道接口是一个内部接口,可供基于路由的 VPN 用于将明文流量路由到 IPsec VPN 隧道。所有可用 SRX 系列设备和 vSRX2.0 上的 st0 接口均支持以下 CoS 功能:
分类
监管器
排队、调度和整形
重写标记
虚拟通道
从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,SRX5400、SRX5600 和 SRX5800 设备的 st0 接口中添加了对排队、调度、整形和虚拟通道的支持。SRX1500、SRX4100 和 SRX4200 设备的 st0 接口中添加了对所有列出的 CoS 功能的支持。从 Junos OS 17.4R1 版开始,SRX4600 设备的 st0 接口中添加了对列出的 CoS 功能的支持。
VPN st0 接口上的 CoS 支持限制
以下限制适用于 VPN st0 接口上的 CoS 支持:
软件队列的最大编号为 2048。如果 st0 接口数量超过 2048,则无法为所有 st0 接口创建足够的软件队列。
只有基于路由的 VPN 才能在 st0 接口上应用 CoS 功能。 表 5 介绍了对不同类型 VPN 的 st0 CoS 功能支持。
表 5: VPN 的 CoS 功能支持 分类器功能 站点到站点 VPN (P2P) AutoVPN (P2P) 站点到站点/自动 VPN /AD-VPN (P2MP) 分类器、监管器以及重写标记
支持
支持
支持
基于 st0 逻辑接口的排队、调度和整形
支持
不支持
不支持
基于虚拟通道的排队、调度和整形
支持
支持
支持
在 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上,一个 st0 逻辑接口可以绑定到多个 VPN 隧道。st0 逻辑接口的八个队列无法将流量重新路由到不同的隧道,因此不支持预隧道。
虚拟通道功能可用作 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上的解决方法。
在 st0 隧道接口上定义 CoS 整形速率时,请考虑以下限制:
隧道接口上的整形速率必须小于物理出口接口的速率。
整形速率仅测量包含带 ESP/AH 报头和外部 IP 报头封装的内部第 3 层明文数据包的数据包大小。整形速率测量不会考虑物理接口添加的外部第 2 层封装。
当物理接口仅承载整形的 GRE 或 IP-IP 隧道流量时,CoS 行为会按预期运行。如果物理接口携带其他流量,从而降低了隧道接口流量的可用带宽,则 CoS 功能将无法按预期工作。
在 SRX550M、SRX5400、SRX5600 和 SRX5800 设备上,监管器配置中的带宽限制和突发大小限制值是按 SPU 而不是按系统的限制。这是与物理接口上相同的监管器行为。