Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

外部接口上的双栈隧道

基于路由的站点到站点 VPN 支持双堆栈隧道,即通过单个物理接口到对等方的并行 IPv4 和 IPv6 隧道。配置了 IPv4 和 IPv6 地址的物理接口可用作同一对等方或同时不同对等方上 IPv4 和 IPv6 网关的外部接口。

了解 VPN 隧道模式

在 VPN 隧道模式下,IPsec 将原始 IP 数据报(包括原始 IP 报头)封装在第二个 IP 数据报中。外部 IP 标头包含网关的 IP 地址,而内部标头包含最终源和目标 IP 地址。外部和内部 IP 报头的协议字段可以是 IPv4 或 IPv6。SRX 系列防火墙支持基于路由的站点到站点 VPN 的四种隧道模式。

IPv4-in-IPv4 隧道将 IPv4 数据包封装在 IPv4 数据包内,如 图 1所示。外部标头和内部标头的协议字段均为 IPv4。

图 1: IPv4-in-IPv4 隧道IPv4-in-IPv4 隧道

IPv6-in-IPv6 隧道将 IPv6 数据包封装在 IPv6 数据包内,如 所示。图 2外部和内部标头的协议字段均为 IPv6。

图 2: IPv6-in-IPv6 隧道IPv6-in-IPv6 隧道

IPv6-in-IPv4 隧道将 IPv6 数据包封装在 IPv4 数据包内,如 所示。图 3外部标头的协议字段为 IPv4,内部标头的协议字段为 IPv6。

图 3: IPv6-in-IPv4 隧道IPv6-in-IPv4 隧道

IPv4-in-IPv6 隧道将 IPv4 数据包封装在 IPv6 数据包内,如 所示。图 4外部标头的协议字段为 IPv6,内部标头的协议字段为 IPv4。

图 4: IPv4-in-IPv6 隧道IPv4-in-IPv6 隧道

单个 IPsec VPN 隧道可以同时传输 IPv4 和 IPv6 流量。例如,IPv4 隧道可以同时在 IPv4 in-IPv4 和 IPv6-in-IPv4 隧道模式下运行。要允许通过单个 IPsec VPN 隧道的 IPv4 和 IPv6 流量,绑定到该隧道的 st0 接口必须同时 配置和 。family inetfamily inet6

配置了 IPv4 和 IPv6 地址的物理接口可用作在基于路由的站点到站点 VPN 中与对等方建立并行 IPv4 和 IPv6 隧道的外部接口。此功能称为 双堆栈 隧道,每个隧道都需要单独的 st0 接口。

对于基于策略的 VPN,IPv6-in-IPv6 是唯一受支持的隧道模式,并且仅在 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上受支持。

了解通过外部接口建立的双栈隧道

基于路由的站点到站点 VPN 支持双堆栈隧道,即通过单个物理接口到对等方的并行 IPv4 和 IPv6 隧道。配置了 IPv4 和 IPv6 地址的物理接口可用作同一对等方或不同对等方上 IPv4 和 IPv6 网关的外部接口。在 中 ,物理接口 reth0.0 和 ge-0/0/0.1 支持两个设备之间的并行 IPv4 和 IPv6 隧道。图 5

图 5: 双栈隧道双栈隧道

在 中 ,必须为每个 IPsec VPN 隧道配置单独的安全隧道 (st0) 接口。图 5不支持绑定到同一 st0 接口的并行 IPv4 和 IPv6 隧道。

单个 IPsec VPN 隧道可以同时传输 IPv4 和 IPv6 流量。例如,IPv4 隧道可以同时在 IPv4 in-IPv4 和 IPv6-in-IPv4 隧道模式下运行。要允许通过单个 IPsec VPN 隧道的 IPv4 和 IPv6 流量,绑定到该隧道的 st0 接口必须同时 配置和 。family inetfamily inet6

如果在 VPN 对等方的同一外部接口上配置了同一地址族中的多个地址,我们建议您在 [] 层次结构级别进行配置。local-addressedit security ike gateway gateway-name

如果配置了,则 指定的 IPv4 或 IPv6 地址将用作本地网关地址。local-address 如果在物理外部接口上仅配置了一个 IPv4 和一个 IPv6 地址, 则不需要配置。local-address

该 值必须是在 SRX 系列防火墙上的接口上配置的 IP 地址。local-address 我们建议属于 IKE 网关的外部接口。local-address 如果不属于 IKE 网关的外部接口,则该 接口必须与 IKE 网关的外部接口位于同一区域中,并且必须将区域内安全策略配置为允许流量。local-address

该 值和远程 IKE 网关地址必须位于同一地址族中,即 IPv4 或 IPv6。local-address

如果未配置,则 本地网关地址基于远程网关地址。local-address 如果远程网关地址是 IPv4 地址,则本地网关地址是外部物理接口的主 IPv4 地址。如果远程网关地址是 IPv6 地址,则本地网关地址是外部物理接口的主 IPv6 地址。

另请参阅

示例:通过外部接口配置双堆栈隧道

此示例说明如何为基于路由的站点到站点 VPN 配置通过单个外部物理接口到对等方的并行 IPv4 和 IPv6 隧道。

要求

开始之前,请阅读 了解 VPN 隧道模式

此示例中显示的配置仅支持基于路由的站点到站点 VPN。

概述

在此示例中,本地设备上的冗余以太网接口支持与对等设备的并行 IPv4 和 IPv6 隧道:

  • IPv4 隧道承载 IPv6 流量;它在 IPv6-in-IPv4 隧道模式下运行。绑定到 IPv4 隧道的安全隧道接口 st0.0 仅配置了系列 inet6。

  • IPv6 隧道同时承载 IPv4 和 IPv6 流量;它可以在 IPv4-in-IPv6 和 IPv6-in-IPv6 隧道模式下运行。绑定到 IPv6 隧道的安全隧道接口 st0.1 配置了族 inet 和族 inet6。

表 1 显示了此示例中使用的第 1 阶段选项。第 1 阶段选项配置包括两个 IKE 网关配置,一个用于 IPv6 对等方,另一个用于 IPv4 对等方。

表 1: 双堆栈隧道配置的第 1 阶段选项

选项

value

IKE 提案

ike_proposal

身份验证方法

预共享密钥

身份验证算法

MD5

加密算法

3DES 全血细胞计数

一生

3600 秒

IKE 策略

ike_policy

模式

积极

IKE 提案

ike_proposal

预共享密钥

ASCII 文本

IPv6 IKE 网关

ike_gw_v6

IKE 策略

ike_policy

网关地址

2000::2

外部接口

reth1.0

IKE 版本

IKEv2

IPv4 IKE 网关

ike_gw_v4

IKE 策略

ike_policy

网关地址

20.0.0.2

外部接口

RETH1.0

表 2 显示了此示例中使用的第 2 阶段选项。第 2 阶段选项配置包括两个 VPN 配置,一个用于 IPv6 隧道,另一个用于 IPv4 隧道。

表 2: 双堆栈隧道配置的第 2 阶段选项

选项

value

IPsec 提议

ipsec_proposal

协议

ESP

身份验证算法

HMAC SHA-1 96

加密算法

3DES 全血细胞计数

IPsec 策略

ipsec_policy

提议

ipsec_proposal

IPv6 VPN

test_s2s_v6

绑定接口

st0.1

IKE 网关

ike_gw_v6

IKE IPsec 策略

ipsec_policy

建立隧道

立即

IPv4 VPN

test_s2s_v4

绑定接口

st0.0

IKE 网关

ike_gw_4

IKE IPsec 策略

ipsec_policy

IPv6 路由表中配置了以下静态路由:

  • 通过 st0.0 将 IPv6 流量路由到 3000::1/128。

  • 通过 st0.1 将 IPv6 流量路由到 3000::2/128。

默认 (IPv4) 路由表中配置了静态路由,用于通过 st0.1 将 IPv4 流量路由到 30.0.0.0/24。

必须在 [] 层级使用配置选项启用基于流的 IPv6 流量处理。mode flow-basededit security forwarding-options family inet6

拓扑

在 中 ,SRX 系列防火墙 A 支持与设备 B 建立 IPv4 和 IPv6 隧道。发往 3000::1/128 的 IPv6 流量通过 IPv4 隧道路由,而发往 3000::2/128 的 IPv6 流量和发往 30.0.0.0/24 的 IPv4 流量通过 IPv6 隧道进行路由。图 6

图 6: 双栈隧道示例双栈隧道示例

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要配置双堆栈隧道:

  1. 配置外部接口。

  2. 配置安全隧道接口。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

  5. 配置静态路由。

  6. 启用基于 IPv6 流的转发。

成果

在配置模式下,输入 、 、 和命令来确认您的配置。show interfacesshow security ikeshow security ipsecshow routing-optionsshow security forwarding-options 如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

意义

该 命令会列出所有活动的 IKE 第 1 阶段 SA。show security ike security-associations 如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。对等设备上的第 1 阶段提议参数必须匹配。

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。

意义

该 命令将列出所有活动的 IKE 第 2 阶段 SA。show security ipsec security-associations 如果未列出任何 SA,则第 2 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。第 2 阶段提议参数必须在对等设备上匹配。

验证路由

目的

验证活动路由。

操作

在操作模式下,输入 show route 命令。

意义

该命令会 列出路由表中的活动条目。show route

相关主题