Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于 CoS 的 IPsec VPN

您可以配置 Junos 服务等级 (CoS) 功能,为 VPN 提供多个服务等级。在设备上,您可以为传输数据包配置多个转发类,定义将哪些数据包放入每个输出队列,为每个队列安排传输服务级别,以及管理拥塞。

了解具有多个 IPsec SA 的基于 CoS 的 IPsec VPN

SRX 系列设备上配置的服务等级 (CoS) 转发类 (FC) 可以映射到 IPsec 安全关联 (SA)。每个 FC 的数据包均映射到不同的 IPsec SA,从而在本地设备和中间路由器上提供 CoS 处理。

具有多个 IPsec SA 的基于 CoS 的 IPsec VPN 的优势

  • 有助于确保不同的数据流,每个隧道都使用一组单独的安全关联。

  • 有助于促进需要差异化流量(例如 IP 语音)的 IPsec VPN 部署。

概述

此功能是瞻博网络的专有技术,可与受支持的 SRX 平台和 Junos OS 版本配合使用。VPN 对等设备必须是支持此功能的 SRX 系列设备或 vSRX 实例,或者以与 SRX 系列设备相同的方式支持相同功能的任何其他产品。

将 FC 映射到 IPsec SA

可以为位于 [edit security ipsec vpn vpn-name] 层次结构级别的 VPN multi-sa forwarding-classes 配置多达 8 个转发类 (FC)。与对等网关协商的 IPsec SA 数量基于为 VPN 配置的 FC 数量。FC 与 IPsec SA 的映射适用于为 VPN 配置的所有流量选择器。

为特定 VPN 的 FC 创建的所有 IPsec SA 都由相同的隧道 ID 表示。隧道相关事件会考虑所有 IPsec SA 的状态和统计信息。与隧道相关的所有 IPsec SA 都锚定在 SRX 系列设备或 vSRX 实例上的同一 SPU 或相同的线程 ID 上。

IPsec SA 协商

为一个 VPN 配置多个 FC 时,将为每个 FC 与对等方协商一个唯一的 IPsec SA。此外,会协商默认 IPsec SA 以发送与配置的 FC 不匹配的数据包。即使 VPN 对等设备未为 FC 配置或不支持 FC 到 IPsec SA 映射,也会协商默认 IPsec。默认 IPsec SA 是要协商的第一个 IPsec SA,也是最后一个要拆除的 SA。

具体取决于配置的 FC 数量。当 IPsec SA 正在协商时,数据包可能会随尚未协商 IPsec SA 的 FC 一起送达。在协商给定 FC 的 IPsec SA 之前,流量会发送到默认的 IPsec SA。使用 FC 与已安装的任何 IPsec SA 不匹配的数据包将采用默认 IPsec SA 发送。

FC 到 IPsec SA 的映射在本地 VPN 网关上完成。本地网关和对等网关可能按不同顺序配置 FC。每个对等网关按完成 IPsec SA 协商的顺序映射 FC。因此,本地网关和对等网关可能具有不同的 FC 到 IPsec SA 映射。达到配置的 FC 数量后,网关将停止协商新的 IPsec SA。对等网关发起的 IPsec SA 可能比本地网关上配置的 FC 数量更多。在这种情况下,本地网关接受附加的 IPsec SA 请求—最多 18 个 IPsec SA。本地网关仅使用其他 IPsec SA 对传入的 IPsec 流量进行解密。如果收到的数据包的 FC 与任何配置的 FC 不匹配,则数据包将按默认 FC IPsec SA 发送。

如果从对等设备收到默认 IPsec SA 的删除通知,则只会删除默认 IPsec SA,并且会重新协商默认 IPsec SA。在此期间,可能会进入默认 IPsec SA 的流量将被丢弃。只有当默认 IPsec SA 是最后一个 SA 时,VPN 隧道才会关闭。

establish-tunnels immediately如果为 VPN 配置并提交选项,则 SRX 系列设备将协商 IPsec SA,无需等待流量到达。如果已配置 FC 的 IPsec SA 协商未完成,则每 60 秒重新尝试一次协商。

establish-tunnels on-traffic如果为 VPN 配置了选项,则 SRX 系列设备在第一个数据包到达时协商 IPsec SA;第一个数据包的 FC 并不重要。使用任一选项,先协商默认 IPsec SA,然后按照在设备上配置 FC 的顺序逐个协商每个 IPsec SA。

重新密钥

当对流量选择器使用具有差异化服务代码点 (DSCP) 流量定向的多 SA 时,在重新密钥期间会出现以下行为。当流量选择器执行重新密钥时,如果一个或多个流量选择器因任何原因无法重新密钥,特定 SA 将在生存期到期时关闭。在这种情况下,用于匹配特定 SA 的流量将改为通过默认流量选择器发送。

在 VPN 中添加或删除 FC

从 VPN 中添加或删除 FC 时,将启动或关闭 VPN 的 IKE 和 IPsec SA 并重新启动协商。命令将 clear security ipsec security-associations 清除所有 IPsec SA。

失效对等方检测 (DPD)

使用此功能配置 DPD 后, optimized 仅当任何 IPsec SA 上存在传出流量且没有传入流量时,该模式才会发送探测。probe-idle仅当任何 IPsec SA 上没有传出和没有传入流量时,模式才会发送探测。DPD 功能不支持 VPN 监控。

命令

命令 show security ipsec sa details index tunnel-id 将显示所有 IPsec SA 详细信息,包括 FC 名称。命令 show security ipsec stats index tunnel-id 会显示每个 FC 的统计信息。

支持的 VPN 功能

基于 CoS 的 IPsec VPN 支持以下 VPN 功能:

  • 基于路由的站点到站点 VPN。不支持基于策略的 VPN。

  • AutoVPN。

  • 流量选择器。

  • 自动发现 VPN (ADVPN)。

  • IKEv2。不支持 IKEv1。

  • 失效对等方检测 (DPD)。不支持 VPN 监控。

了解流量选择器和基于 CoS 的 IPsec VPN

流量选择器是 IKE 对等方之间的协议,允许流量通过 VPN 隧道(如果流量与指定的本地和远程地址对匹配)。通过关联安全关联 (SA) 仅允许符合流量选择器的流量。

基于 CoS 的 IPsec VPN 功能支持以下场景

  • 使用相同 FC 的基于路由的站点到站点 VPN 中的一个或多个流量选择器。

  • 多个流量选择器,每个流量选择器使用不同的 FC。此方案需要单独的 VPN 配置。

本主题介绍针对每种场景协商的 VPN 配置和 IPsec SA。

在以下情况下,SRX 系列设备上配置了三个 FC:

在第一个场景中,VPN vpn1 配置了单个流量选择器 ts1 和三个 FC:

在上述配置中,将协商四个 IPsec SA 以用于流量选择或 ts1—一个用于默认 IPsec SA,三个用于映射到 FC 的 IPsec SA。

在第二个场景中,VPN vpn1 配置了两个流量选择器 ts1 和 ts2 以及三个 FC:

在上述配置中,为流量选择或 ts1 协商 4 个 IPsec SA,为流量选择或 ts2 协商 4 个 IPsec SA。对于每个流量选择器,都会为默认 IPsec SA 协商一个 IPsec SA,为映射到 FC 的 IPsec SA 协商三个 IPsec SA。

在第三种场景中,流量选择器 ts1 和 ts2 支持不同的 FC 集。需要为不同的 VPN 配置流量选择器:

在上述配置中,为 VPN vpn1 中的流量选择或 ts1 协商四个 IPsec SA,一个用于默认 IPsec SA,三个用于映射到 FC 的 IPsec SA。

示例:配置基于 CoS 的 IPsec VPN

此示例说明如何配置具有多个 IPsec SA 的基于 CoS 的 IPsec VPN,以便允许每个转发类的数据包映射到不同的 IPsec SA,从而在本地设备和中间路由器上提供 CoS 处理。

此功能是瞻博网络的专有技术,仅适用于受支持的 SRX 平台和 Junos OS 版本。VPN 对等设备必须是支持此功能的 SRX 系列设备或 vSRX 实例。

要求

此示例使用以下硬件:

  • 任何 SRX 系列设备

开始之前:

  • 了解如何将 SRX 系列设备上配置的服务等级 (CoS) 转发类 (FC) 映射到 IPsec 安全关联 (SA)。请参阅了解具有多个 IPsec SA 的基于 CoS 的 IPsec VPN。

  • 了解流量选择器和基于 CoS 的 IPsec VPN。请参阅了解流量选择器和基于 CoS 的 IPsec VPN。

概述

在此示例中,您为芝加哥的分支机构配置基于 IPsec 路由的 VPN,因为您不需要保护隧道资源或配置许多安全策略来过滤通过隧道的流量。芝加哥办事处的用户将使用 VPN 连接到位于森尼维尔的公司总部。

图 1 显示了基于 IPsec 路由的 VPN 拓扑的示例。在此拓扑中,一个 SRX 系列设备位于桑尼维尔,一个 SRX 系列设备位于芝加哥。

图 1: 基于 IPsec 路由的 VPN 拓扑基于 IPsec 路由的 VPN 拓扑

在此示例中,您将配置接口、IPv4 默认路由和安全区域。然后,配置 IKE、IPsec、安全策略和 CoS 参数。查看 表 1表 4

表 1: 接口、静态路由和安全区域信息

功能

姓名

配置参数

接口

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0(隧道接口)

10.10.11.10/24

静态路由

0.0.0.0/0(默认路由)

下一跃点为 st0.0。

安全区域

信任

  • 允许所有系统服务。

  • ge-0/0/0.0 接口绑定到此区域。

untrust

  • 允许所有系统服务。

  • ge-0/0/3.0 接口绑定到此区域。

vpn

st0.0 接口绑定到此区域。

表 2: IKE 配置参数

功能

姓名

配置参数

建议

ike 提议

  • 身份验证方法:rsa 签名

  • Diffie-Hellman 组:组14

  • 身份验证算法:sha-256

  • 加密算法:aes-256-cbc

策略

ike 策略

  • 模式:主要

  • 提议参考:ike 提议

  • IKE 策略身份验证方法:rsa 签名

网关

gw-sunnyvale

  • IKE 策略参考:ike 策略

  • 外部接口:ge-0/0/3.0

  • 网关地址:10.2.2.2

表 3: IPsec 配置参数

功能

姓名

配置参数

建议

ipsec_prop

  • 协议:Esp

  • 身份验证算法:hmac-sha-256

  • 加密算法:aes-256-cbc

策略

ipsec_pol

  • 提议参考:ipsec_prop

VPN

ipsec_vpn1

  • IKE 网关参考:GW-芝加哥

  • IPsec 策略参考:ipsec_pol

表 4: 安全策略配置参数

目的

姓名

配置参数

安全策略允许从信任区域到 VPN 区域的流量。

vpn

  • 匹配标准:

    • 源地址森尼维尔

    • 目标地址芝加哥

    • 应用任意

  • 行动:许可证

安全策略允许从 VPN 区域到信任区域的流量。

vpn

  • 匹配标准:

    • 芝加哥源地址

    • 目标地址森尼维尔

    • 应用任意

  • 行动:许可证

配置

配置基本网络和安全区域信息

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。

要配置接口、静态路由和安全区域信息:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 配置不信任安全区域。

  4. 为不信任安全区域指定允许的系统服务。

  5. 为安全区域分配接口。

  6. 为安全区域指定允许的系统服务。

  7. 配置信任安全区域。

  8. 将接口分配给信任安全区域。

  9. 为信任安全区域指定允许的系统服务。

  10. 配置 VPN 安全区域。

  11. 为安全区域分配接口。

结果

在配置模式下,输入 、 show routing-optionsshow security zones命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 CoS

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。

要配置 CoS:

  1. 为 DiffServ CoS 配置行为聚合分类器。

  2. 配置尽力转发类分类器。

  3. 定义要分配给转发类的 DSCP 值。

  4. 为八个队列定义八个转发类(队列名称)。

  5. 在入口 (ge) 接口上配置分类器。

  6. 将调度器图应用于 ge 接口。

  7. 配置调度器图,将调度器与定义的转发类相关联。

  8. 定义具有优先级和传输速率的调度器。

结果

在配置模式下,输入命令以确认 show class-of-service 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。

要配置 IKE:

  1. 创建 IKE 提议。

  2. 定义 IKE 提议身份验证方法。

  3. 定义 IKE 提议 Diffie-Hellman 组。

  4. 定义 IKE 提议身份验证算法。

  5. 定义 IKE 提议加密算法。

  6. 创建 IKE 策略。

  7. 设置 IKE 策略模式。

  8. 指定对 IKE 提议的引用。

  9. 定义 IKE 策略身份验证方法。

  10. 创建 IKE 网关并定义其外部接口。

  11. 定义 IKE 策略参考。

  12. 定义 IKE 网关地址。

  13. 定义 IKE 网关版本。

结果

在配置模式下,输入命令以确认 show security ike 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。

要配置 IPsec:

  1. 启用 IPsec 追踪选项。

  2. 创建 IPsec 提议。

  3. 指定 IPsec 提议协议。

  4. 指定 IPsec 提议身份验证算法。

  5. 指定 IPsec 提议加密算法。

  6. 指定 IPsec 安全关联 (SA) 的生存期(以秒为单位)。

  7. 创建 IPsec 策略。

  8. 指定 IPsec 提议参考。

  9. 指定要绑定的接口。

  10. 配置转发类到多个 IPsec SA。

  11. 指定 IKE 网关。

  12. 指定 IPsec 策略。

  13. 指定当第一个数据包到达要发送的数据包时,立即启动隧道以协商 IPsec SA。

  14. 为流量选择器配置本地 IP 地址。

  15. 为流量选择器配置远程 IP 地址。

结果

在配置模式下,输入命令以确认 show security ipsec 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

启用安全策略跟踪选项,用于对策略相关问题进行故障排除。

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用CLI 编辑器。

要配置安全策略:

  1. 创建安全策略以允许从信任区域到 VPN 区域的流量。

  2. 创建安全策略以允许从 VPN 区域到信任区域的流量。

结果

在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证 IPsec 安全关联

目的

验证 IPsec 状态。

行动

在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号后,使用 show security ipsec security-associations index 131073 detail and show security ipsec statistics index 131073 命令。

为简洁起想,show 命令输出不会显示配置的所有值。仅显示配置的子集。系统上的其他配置已被椭圆 (...) 取代。

含义

命令的 show security ipsec security-associations 输出列出了以下信息:

  • ID 编号为 131073。将此值与 show security ipsec security-associations index 命令一起使用,可获取有关此特定 SA 的更多信息。

  • 有一个使用端口 500 的 IPsec SA 对。

  • 两个方向都显示 SAPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。1949/unlim 值表示阶段生存期将在 1949 秒后过期,并且尚未指定生存大小时,表示其没有限制。

  • 如 Mon 列中的连字符所示,未为此 SA 启用 VPN 监控。如果启用了 VPN 监控,U 表示监控已启动,D 表示监控已关闭。

命令 show security ike security-associations index 131073 detail 会列出索引号为131073 SA 的其他信息:

  • 本地身份和远程身份构成 SA 的代理 ID。代理 ID 不匹配是导致阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认阶段提议(包括代理 ID 设置)对于两个对等方都正确。

  • 显示所有子 SA 详细信息,包括转发类名称。

命令 show security ipsec statistics index 131073 会列出每个转发类名称的统计信息。

  • 输出中的错误值为零表示正常情况。

  • 我们建议多次运行此命令,以观察 VPN 上出现的任何丢包问题。此命令的输出还显示加密和解密数据包计数器、错误计数器等的统计信息。

  • 必须启用安全流跟踪选项,以调查哪些 ESP 数据包遇到错误以及原因。

了解 st0 接口上的 CoS 支持

从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,现在可以在安全隧道接口 (st0) 上为点对点 VPN 配置服务等级 (CoS) 功能,例如分类器、监管器、队列、调度、整形、重写标记和虚拟通道。

st0 隧道接口是一个内部接口,可供基于路由的 VPN 用于将明文流量路由到 IPsec VPN 隧道。所有可用 SRX 系列设备和 vSRX2.0 上的 st0 接口均支持以下 CoS 功能:

  • 分类

  • 监管器

  • 排队、调度和整形

  • 重写标记

  • 虚拟通道

从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,SRX5400、SRX5600 和 SRX5800 设备的 st0 接口中添加了对排队、调度、整形和虚拟通道的支持。SRX1500、SRX4100 和 SRX4200 设备的 st0 接口中添加了对所有列出的 CoS 功能的支持。从 Junos OS 17.4R1 版开始,SRX4600 设备的 st0 接口中添加了对列出的 CoS 功能的支持。

VPN st0 接口上的 CoS 支持限制

以下限制适用于 VPN st0 接口上的 CoS 支持:

  • 软件队列的最大编号为 2048。如果 st0 接口数量超过 2048,则无法为所有 st0 接口创建足够的软件队列。

  • 只有基于路由的 VPN 才能在 st0 接口上应用 CoS 功能。 表 5 介绍了对不同类型 VPN 的 st0 CoS 功能支持。

    表 5: VPN 的 CoS 功能支持
    分类器功能 站点到站点 VPN (P2P) AutoVPN (P2P) 站点到站点/自动 VPN /AD-VPN (P2MP)

    分类器、监管器以及重写标记

    支持

    支持

    支持

    基于 st0 逻辑接口的排队、调度和整形

    支持

    不支持

    不支持

    基于虚拟通道的排队、调度和整形

    支持

    支持

    支持

  • 在 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上,一个 st0 逻辑接口可以绑定到多个 VPN 隧道。st0 逻辑接口的八个队列无法将流量重新路由到不同的隧道,因此不支持预隧道。

    虚拟通道功能可用作 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上的解决方法。

  • 在 st0 隧道接口上定义 CoS 整形速率时,请考虑以下限制:

    • 隧道接口上的整形速率必须小于物理出口接口的速率。

    • 整形速率仅测量包含带 ESP/AH 报头和外部 IP 报头封装的内部第 3 层明文数据包的数据包大小。整形速率测量不会考虑物理接口添加的外部第 2 层封装。

    • 当物理接口仅承载整形的 GRE 或 IP-IP 隧道流量时,CoS 行为会按预期运行。如果物理接口携带其他流量,从而降低了隧道接口流量的可用带宽,则 CoS 功能将无法按预期工作。

  • 在 SRX550M、SRX5400、SRX5600 和 SRX5800 设备上,监管器配置中的带宽限制和突发大小限制值是按 SPU 而不是按系统的限制。这是与物理接口上相同的监管器行为。

发布历史记录表
版本
说明
17.4R1
从 Junos OS 17.4R1 版开始,SRX4600 设备的 st0 接口中添加了对列出的 CoS 功能的支持。
15.1X49-D70
从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,SRX5400、SRX5600 和 SRX5800 设备的 st0 接口中添加了对排队、调度、整形和虚拟通道的支持。SRX1500、SRX4100 和 SRX4200 设备的 st0 接口中添加了对所有列出的 CoS 功能的支持。
15.1X49-D60
从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,现在可以在安全隧道接口 (st0) 上为点对点 VPN 配置服务等级 (CoS) 功能,例如分类器、监管器、队列、调度、整形、重写标记和虚拟通道。