Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Group VPNv1

组 VPN 是一组功能,对于通过设备发起或流过的专用 WAN 保护 IP 多播组信息流或单播信息流是必要的。

Group VPNv1 概述

IPsec 安全关联(SA)是虚拟专用网络(VPN)参与者之间的单向协议,用于定义用于身份验证和加密算法、密钥交换机制和安全通信的规则。通过当前 VPN 实施,SA 是两个安全设备之间的点对点隧道。Group VPNv1 将 IPsec 架构扩展为支持由一组安全设备共享的 Sa (请参阅图 1)。

图 1: 标准 IPsec VPN 和组 VPNv1标准 IPsec VPN 和组 VPNv1

组 VPNv1 在 SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备上受支持。借助 Group VPNv1,可通过在外部标头中保留原始源和目标 IP 地址来实现任何连接。安全多播数据包的复制方式与核心网络中的明文多播数据包相同。

从 Junos OS Release 12.3 X48-D30、Group VPNv1 成员可与组 VPNv2 服务器交互操作。

VPNv1 组对 RFC 6407"解释组域 (GDOI)"有一些自己限制。要在没有专有限制的情况下使用组 VPN,请升级到 Group VPNv2。在 vSRX 实例上支持 Group VPNv2,从 Junos OS Release 15.1 X 49-D30、SRX 系列设备开始,Junos OS Release 15.1 X 49-D40 和 MX 系列设备从 Junos OS Release 15.1 r r 开始。

了解组 VPNv1 的 GDOI 协议

VPNv1 组基于 RFC 3547,即解释组 (GDOI)。此 RFC 介绍了组成员与组服务器之间的协议,用于在组成员之间建立 Sa。GDOI 消息为一组设备创建、维护或删除 Sa。GDOI 协议在端口848上运行。

互联网安全关联和密钥管理协议(ISAKMP)定义了两个协商阶段,用于为 AutoKey IKE IPsec 隧道建立 Sa。第 1 阶段允许两台设备建立 ISAKMP SA。第 2 阶段会为其他安全协议(例如 GDOI)建立 SLA。

使用组 VPN,第 1 阶段 ISAKMP SA 协商在组服务器和组成员之间执行。服务器和成员必须使用相同的 ISAKMP 策略。在第 2 阶段,服务器和成员之间的 GDOI 交换将建立与其他组成员共享的 SLA。组成员无需与其他组成员协商 IPsec。第 2 阶段的 GDOI 交换必须受 ISAKMP 第 1 阶段 SLA 保护。

有两种类型的 GDOI 交换:

  • groupkey-pull Exchange 允许成员从服务器请求组共享的 sa 和密钥。

  • groupkey-push Exchange 是一条重新生成密钥消息,允许服务器向现有组 sa 过期之前的成员发送组 sa 和密钥。Rekey 消息是从服务器向成员发送的未经请求的消息。

了解组 VPNv1 限制

Group VPNv1 的此版本中不支持以下各项:

  • 非默认路由实例

  • 机箱集群

  • 服务器群集

  • 基于路由的组 VPN

  • 基于 Internet 的公共部署

  • SNMP

  • 来自 Cisco GET VPN 服务器的拒绝策略

  • 用于配置和监控的 J Web 接口

从 Junos OS Release 12.3 X48-D30、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550 和 SRX650 设备上的 Group VPNv1 成员可与组 VPNv2 服务器交互操作。将组 VPNv1 成员配置为与 Group VPNv2 server 一起使用时,请注意以下限制:

  • VPNv2 组支持IETF的草案规范 IP 交付延迟 检测协议, 以用于基于时间的反replay 机制。因此,组 VPNv1 成员上不支持基于 IP 交付延迟检测协议的 antireplay,必须使用deactivate security group-vpn server group group-name anti-replay-time-window命令在 Group VPNv2 服务器上禁用。

  • Group VPNv2 server 不支持主机代管,其中组服务器和组成员功能存在于同一设备中。

  • Group VPNv2 server 不支持心跳 transmittals。必须使用deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold命令在 Group VPNv1 成员上禁用检测信号。建议使用组 VPNv2 服务器群集避免由于重新启动或组 VPNv2 服务器上的其他中断造成的信息流影响。

  • 从组 VPNv2 服务器发送的组密钥推送消息基于 RFC 6407,即解释域 组 (GDOI), 并且组 VPNv1 成员不支持。因此,必须通过deactivate security group-vpn server group group-name server-member-communication命令禁用 Group VPNv2 服务器上的 groupkey 推送消息。

    Groupkey pull 消息支持重新生成密钥。如果存在扩展问题,其中组 VPNv1 成员无法在 TEK 硬生命周期到期之前完成 groupkey 拉操作,建议增加 TEK 寿命,以便让成员完成 groupkey 拉操作。瞻博网络的扩展编号通过 2 小时 TEK 生存期进行认证。

  • 如果组 VPNv2 服务器重新启动或升级,或者该组的 SAs 已清除,则新成员不能添加到网络中,除非现有成员再次生成密钥。新成员不能向具有旧密钥的现有成员发送信息流。作为解决方法,使用clear security group-vpn member ipsec security-associations命令清除现有组 VPNv1 成员上的 sa。

  • 由于组 VPNv2 成员不支持多播数据流量,因此当同一组的网络中的组 VPNv1 和组 VPNv2 成员共存时,不能使用多播数据流量。

了解组 VPNv1 服务器和成员

组 VPN 的中心是组服务器。该组服务器执行以下任务:

  • 控制组成员

  • 生成加密密钥

  • 管理组 Sa 和密钥,并将其分配给组成员

组成员根据组服务器提供的组 Sa 和密钥对信息流进行加密。

一个组服务器可以为多个组提供服务。单个安全设备可以是多个组的成员。

每个组都由一个组标识符表示,这是一个介于1和65535之间的数字。组服务器和组成员通过组标识符链接在一起。每个组只能有一个组标识符,而多个组不能使用相同的组标识符。

以下是组 VPN 服务器和成员操作的高级视图:

  1. 该组服务器侦听 UDP 端口848以注册成员。成员设备必须提供正确的第 IKE 1 阶段身份验证,以便加入组。支持基于每个成员的预共享密钥身份验证。

  2. 成功完成身份验证和注册后,成员设备将从带有 GDOI groupkey-pull交换的服务器中检索组 sa 和密钥。

  3. 服务器会将该成员添加到该组的成员。

  4. 组成员交换使用 group SA 密钥加密的数据包。

服务器会定期发送 SA 和密钥刷新,并使用 rekey (GDOI groupkey-push)消息对成员进行分组。在 Sa 过期之前,Rekey 的消息将被发送。这将确保有效密钥可用于加密组成员之间的流量。

当组成员关系或组 SA 发生更改时,服务器还会发送重新生成密钥以向成员提供新键。

了解组 VPNv1 服务器成员通信

组 VPNv1 在 SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备上受支持。服务器成员通信允许服务器向成员发送 GDOI groupkey-push消息。如果没有为组配置服务器成员通信,则成员可以发送 GDOI groupkey-pull消息以向服务器注册和注册,但服务器无法将 rekey 消息发送至成员。

通过使用 [ edit security group-vpn server] 层次结构上的server-member-communication 配置语句为组配置服务器成员通信。可定义以下选项:

  • 用于服务器与成员之间通信的加密算法。您可以指定 3des-cbc,aes-128-cbc、aes-192-cbc、aes-256-cbc 或 des-cbc。没有默认算法。

  • 用于向服务器认证成员的身份验证算法(md5 或 sha1)。没有默认算法。

  • 服务器是将单播或多播 rekey 消息发送到与通信类型相关的组成员和参数。

  • 服务器向组成员发送检测信号消息的间隔。这允许成员确定服务器是否重新启动,这需要成员与服务器注册。默认值为300秒。

  • 密钥加密密钥(KEK)的生存期。默认值为3600秒。

要让组服务器将 rekey 消息发送给成员,必须配置服务器成员通信,但是可能会出现这种行为不需要的情况。例如,如果组成员是动态对等方(例如在家庭办公室中),则设备不会始终运行,并且每次启动时设备的 IP 地址都可能不同。为一组动态对等方配置服务器成员通信可能会导致服务器不必要的传输。如果您希望始终IKE第 1 阶段 SA 协商以保护 GDOI 协商,请勿配置服务器成员通信。

如果未配置组的服务器成员通信,则该show security group-vpn server registered-members命令显示的成员资格列表将显示已向服务器注册的组成员;成员可以有效。配置组的服务器成员通信时,组成员身份列表将被清除。如果通信类型配置为单播,则show security group-vpn server registered-members命令仅显示活动成员。如果通信类型配置为多路广播,此show security group-vpn server registered-members命令将显示在配置后已在服务器上注册的成员; 否则为。成员身份列表不一定代表活动成员,因为成员在注册后可能会断开。

了解组 VPNv1 组关键操作

本主题包含以下部分:

组键

该组服务器维护一个数据库,用于跟踪 VPN 组、组成员和组键之间的关系。服务器下载到成员的组键有两种:

  • 密钥加密密钥 (KEK) — 用于加密重新密钥消息。每组支持一个 KEK。

  • 信息流加密密钥 (TEK) — 用于对组成员之间的 IPsec 数据信息流进行加密和解密。

只有在成员上配置了匹配的作用域策略时,组成员才能接受与 SA 相关联的键。将为组 VPN 安装接受的密钥,而拒绝的密钥将被丢弃。

重新生成消息

如果该组配置为服务器成员通信,则服务器会定期发送 SA 和密钥刷新,以使用 rekey (GDOI groupkey-push)消息对成员进行分组。在 Sa 过期之前,Rekey 的消息将被发送。这将确保有效密钥可用于加密组成员之间的流量。

当组成员关系或组 SA 发生更改时(例如,添加或删除组策略),服务器还会发送重新生成密钥以向成员提供新键。

必须在服务器上配置服务器成员通信选项,以允许服务器将 rekey 消息发送至组成员。这些选项指定消息类型和发送消息的间隔,详见以下部分中的说明:

Rekey 的消息类型有两种:

  • 单播重新密钥消息 - 组服务器向每个组成员发送一个重新密钥消息副本。收到重新生成密钥消息后,成员必须向服务器发送确认(ACK)。如果服务器未收到来自某个成员的 ACK (包括重新传输的重新生成消息),则服务器会将该成员视为非活动状态并将其从成员身份列表中删除。服务器停止向成员发送重新生成消息。

    服务器number-of-retransmission成员retransmission-period通信的和配置语句控制当未收到成员的 ACK 时服务器对重新发送重新生成消息。

  • 组播重新密钥消息 - 组服务器将重新密钥消息的副本从指定的传出接口发送到配置的组播组地址。成员不发送对多播重新生成密钥消息的接收确认。注册的成员身份列表并不一定代表活动成员,因为成员可能会在初始注册后断开。必须将该组的所有成员配置为支持多播消息。

    IP 多播协议必须配置为允许在网络中传递多路广播流量。有关在瞻博网络设备上配置多播协议的详细信息,请参阅多播协议用户指南

服务器发送 rekey 消息的间隔基于 [ lifetime-secondsactivation-time-delayedit security group-vpn server group] 层次结构中的和配置语句的值进行计算。此时间间隔计算为 lifetime-seconds minus 4*(activation-time-delay)

lifetime-seconds用于 KEK 的的可配置为服务器成员通信的一部分;默认值为3600秒。TEK lifetime-seconds的 for The for IPsec 建议而配置;默认值为3600秒。activation-time-delay在服务器上为组配置;默认值为15秒。使用 默认值 和 ,服务器发送重新密钥消息的时间间隔 lifetime-secondsactivation-time-delay3600 minus 4*15 ,或 3540 秒。

成员注册

如果组成员在当前密钥过期之前没有从服务器接收新 SA 密钥,则该成员必须与服务器重新注册,并通过 GDOI groupkey-pull exchange 获取更新的密钥。在这种情况下,服务器发送重新生成消息的间隔将按以下方式计算:lifetime-seconds减 3 * (activation-time-delay)。使用lifetime-secondsactivation-time-delay的默认值是服务器发送 rekey 消息的间隔为3600减 3 * 15 或3555秒。

成员 reregistration 可能是由于以下原因造成的:

  • 该成员检测到服务器因缺少从服务器收到的心跳而重新启动。

  • 来自组服务器的重新生成密钥消息已丢失或延迟,TEK 生存时间已到期。

密钥激活

当成员从服务器接收新密钥时,将在使用密钥进行加密之前等待一段时间。这段时间由 activation-time-delay 配置语句确定,以及密钥是通过服务器上发送的 rekey 码消息接收,还是通过服务器与成员 reregistering。

如果通过从服务器发送的重新生成密钥消息接收密钥,则在使用 key 之前,该activation-time-delay成员等待 2 * ()秒。如果通过成员 reregistration 接收密钥,则该成员将等待由activation-time-delay该值指定的秒数。

成员保留在该成员上安装的每个组 SA 从服务器上发送的两个最新密钥。两个密钥可用于解密,而最新密钥则用于加密。在激活新密钥之后,将从activation-time-delay值指定的秒数中卸下前一个密钥。

activation-time-delay配置语句的默认值为15秒。将此时间期限设置得过小可能会导致数据包在安装新密钥之前被放在远程组成员上。更改activation-time-delay值时,请考虑网络拓扑和系统传输延迟。对于单播传输,系统传输延迟与组成员的数量成正比。

组 VPNv1 服务器可向组 VPNv1 成员发送多个流量加密密钥(TEKs),以响应groupkey-pull请求。下面介绍 group VPNv1 成员如何处理现有 TEK 以及它从服务器接收的 TEKs:

  • 如果 group VPNv1 成员收到两个或更多 TEKs,则会保留最近两个 TEKs 并删除现有 TEK。在两个持有的 TEKs 中,旧的 TEK 会立即激活,而更新的 TEK 将在activation-time-delay group VPNv1 服务器上配置的时间(默认值为15秒)之后激活。

  • 如果 group VPNv1 成员仅收到一个 TEK,或者如果它接收来自服务器的groupkey-push消息的 TEK,则在硬生存期到期之前,不会删除现有 TEK。现有 TEK 的生存期不会缩短。

即使 TEK 寿命少于两倍于该值, activation-time-delay group VPNv1 成员仍然会安装收到的 TEK。

了解组 VPNv1 检测信号消息

配置服务器成员通信时,group VPNv1 server 以指定间隔向成员发送检测信号消息(默认间隔为300秒)。如果未收到指定数量的检测信号,检测信号机制允许成员在服务器上重新注册。例如,成员在服务器重新启动期间将不会收到心跳消息。重新启动服务器后,成员将与服务器注册。

心跳通过groupkey-push消息传输。每条心跳消息的序列号都将递增,保护成员免遭回复攻击。与重新生成密钥不同,心跳消息不会被收件人确认,也不会被服务器重新传输。

心跳消息包含以下信息:

  • 服务器上的密钥的当前状态和配置

  • 启用 antireplay 时的相对时间

通过比较检测信号中的信息,成员可检测到它是否已丢失服务器信息或重新生成消息。成员 reregisters 与服务器同步。

心跳消息可能会增加网络拥塞并导致不必要的成员 reregistrations。因此,如有必要,可在成员上禁用检测信号检测。

了解组 VPNv1 服务器成员主机代管模式

组服务器和组成员功能是独立的,并且不重叠。服务器和成员功能可共存于同一物理设备中,这称为主机代管模式。在主机代管模式中,服务器或成员的功能和行为没有改变,但服务器和成员需要分配不同的 IP 地址,以便正确传递数据包。在主机代管模式中,只能为服务器分配一个 IP 地址,并在组中为成员分配一个 IP 地址。

组 VPNv1 配置概述

本主题介绍配置组 VPNv1 的主要任务。

在组服务器上,配置以下内容:

  1. IKE第 1 阶段协商。使用 [ edit security group-vpn server ike ] 层次结构配置第 1 IKE 阶段 SA。请参阅了解组 VPNv2 的 IKE 阶段1配置
  2. 第 2 阶段 IPsec SA。请参阅了解组 VPNv1 的 IPSEC SA 配置
  3. VPN 组。请参阅组 VPNv1 配置概述

在组成员上,配置以下内容:

  1. IKE第 1 阶段协商。使用 [ edit security group-vpn member ike ] 层次结构配置第 1 IKE SA 阶段。请参阅了解组 VPNv1 的 IKE 阶段1配置

  2. 第 2 阶段 IPsec SA。请参阅了解组 VPNv1 的 IPSEC SA 配置

  3. 确定成员上安装了哪些组策略的作用域策略。请参阅了解组 VPNv1 的动态策略

为防止数据包碎片问题,建议将组成员用于连接 MPLS 网络的接口配置为最大传输单元(MTU)大小,不能大于1400字节。使用set interface mtu配置语句设置 MTU 大小。

VPN 组在服务器上使用 group 配置语句在 [edit security group-vpn server] 层次结构上配置。

组信息由以下信息组成:

  • 组标识符 —一个介于 1 到 65,535 之间的值,用于识别 VPN 组。必须在组成员上为 Autokey IKE 配置相同的组标识符。

  • 使用ike-gateway configuration 语句配置的组成员。此配置语句可以有多个实例,该组的每个成员一个。

  • 服务器的 IP 地址(建议使用回传接口地址)。

  • 组策略 — 要下载到成员的策略。组策略描述 SA 和密钥适用的信息流。请参阅了解组 VPNv1 的动态策略

  • 服务器成员通信 — 允许服务器向成员发送重新密钥消息的可选配置。请参阅Group VPNv1 概述

  • Antireplay — 用于检测数据包拦截和重放的可选配置。请参阅了解组 VPNv1 的 Antireplay

了解组 VPNv1 的 IKE 阶段1配置

组IKE与组成员之间的第 1 阶段 SA 可建立一个安全通道,以便协商由组共享的 IPsec SA。对于安全设备上瞻博网络 IPsec VPN,第 1 阶段 SA 配置包括指定IKE、策略和网关。对于 VPNv1 组,IKE第 1 阶段 SA 配置类似于标准 IPsec VPN 的配置,但是会按 [ edit security group-vpn ] 层次结构执行。

在 IKE 提议配置中,设置身份验证方法和身份验证和加密算法,将用于在参与者之间打开安全通道。在IKE配置中,您可设置将协商第 1 阶段通道的模式(主模式或积极模式),指定要使用的密钥交换类型,并引用第 1 阶段提议。在IKE配置中,引用第 1 阶段策略。

由于 Group VPNv2 仅支持强算法,因此sha-256对 SRX100、SRX110、SRX210、SRX220、SRX240、SRX550 和 SRX650 设备上的组 VPNv1 成员支持身份验证算法选项。当组 VPNv1 成员与组 VPNv2 服务器互操作时,必须使用edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256命令在 group VPNv1 成员上配置此选项。在 Group VPNv2 server 上, authentication-algorithm sha-256必须针对 IKE 建议进行配置, authentication-algorithm hmac-sha-256-128并且必须针对 IPsec 建议进行配置。

如果 VPNv1 组的 IKE 网关配置了多个网关地址,则提交配置时,将显示错误消息"按 IKE 网关配置只允许配置一个远程地址"。

组IKE上的第 1 阶段配置必须与IKE成员上的第 1 阶段配置匹配。

了解组 VPNv1 的 IPsec SA 配置

在服务器和成员在第 1 阶段协商中建立安全且经过认证的通道后,它们将继续到第 2 阶段。第 2 阶段协商可建立由组成员共享的 IPsec SLA,以确保成员之间传输的数据安全。虽然组 VPN 的 IPsec SA 配置类似于标准 Vpn 配置,但组成员无需与其他组成员协商 SA。

VPNv1 组的第 2 阶段 IPsec 配置包含以下信息:

  • 用于 SA 的安全协议、身份验证和加密算法的建议。IPsec SA 建议在组服务器上使用 proposal 配置语句在 [edit security group-vpn server ipsec] 层次结构上配置。

  • 一种引用该建议的组策略。组策略指定 SA 和密钥适用的流量(协议、源地址、源端口、目标地址和目标端口)。组策略在服务器上使用ipsec-sa配置语句在 [edit security group-vpn server group ] 层次结构上配置。

  • Autokey IKE,用于引用组标识符、组服务器(配置为ike-gateway配置语句)以及成员用于连接到组的接口。Autokey IKE 使用ipsec vpn配置语句在成员上在 [edit security group-vpn member] 层次结构上配置。

了解组 VPNv1 的动态策略

组服务器将组 Sa 和密钥分配给指定组的成员。属于同一组的所有成员可共享相同的一组 IPsec Sa。但并非所有为组配置的 SAs 都安装在每个组成员上。安装在特定成员上的 SA 取决于与该成员上配置的组 SA 和安全策略相关联的策略。

在 VPN 组中,服务器推送到某个成员的每个组 SA 和密钥都与一个组策略相关联。组策略描述应使用密钥的流量,包括协议、源地址、源端口、目标地址和目标端口。

对于单个组,不能存在相同的组策略(配置为具有相同源地址、目标地址、源端口、目标端口和协议值)。如果尝试提交的配置中包含组的相同组策略,则会返回错误。如果是这种情况,则必须删除相同的组策略之一。

在组成员上,必须配置作用域策略,以定义从服务器下载的组策略的范围。从服务器分发的组策略将与成员上配置的作用域策略进行比较。对于要在成员上安装的组策略,必须满足以下条件:

  • 在组策略中指定的任何地址都必须在作用域策略中指定的地址范围内。

  • 在组策略中指定的源端口、目标端口和协议必须与作用域策略中配置的相同。

安装在成员上的组策略称为动态策略。

范围策略可以是特定于区域和到区域环境的安全策略的排序列表的一部分。Junos OS 从有序列表的顶部开始对传入数据包执行安全策略查找。

根据安全策略的有序列表中的范围策略位置,有几种动态策略查找的可能性:

  • 如果传入数据包在考虑范围策略之前与安全策略匹配,则不会发生动态策略查找。

  • 如果传入策略与某个作用域策略匹配,则搜索过程将继续适用于匹配的动态策略。如果存在匹配的动态策略,则执行策略操作(允许)。如果没有匹配的动态策略,搜索进程将继续搜索策略在作用域策略之下。

    在此版本中,仅tunnel允许对作用域策略执行操作。不支持其他操作。

您可使用 [ edit security] 层次结构上的policies 配置语句,在组成员上配置作用域策略。使用允许ipsec-group-vpn通道规则中的配置语句来引用组 VPN;这允许组成员共享单个 SA。

了解组 VPNv1 的 Antireplay

Antireplay 是一项 IPsec 功能,可检测到数据包何时被攻击,并随后被攻击者重播。默认情况下为组 vpn 启用 Antireplay,但可对具有 no-anti-replay configuration 语句的组禁用。

启用 antireplay 时,组服务器将同步组成员之间的时间。每个 IPsec 数据包都包含一个时间戳。该组成员检查数据包的时间戳是否属于配置的值( anti-replay-time-window 默认为 100 秒)。如果时间戳超过该值,则丢弃数据包。

示例:配置组 VPNv1 服务器和成员

此示例演示如何将 group VPNv1 配置为扩展 IPsec 架构,以支持由一组安全设备共享的 Sa。组 VPNv1 在 SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备上受支持。

要求

开始之前:

概述

图 2中,组 VPN 由两个成员设备(member1 和 member2)和一个组服务器组成(服务器上回传接口的 IP 地址为20.0.0.1)。组标识符为1。

图 2: 服务器成员配置示例服务器成员配置示例

第 2 阶段组 VPN SA 必须受第 1 阶段 SA 保护。因此,组 VPN 配置必须包括配置IKE服务器和组成员上的第 1 阶段协商。此外,必须同时在组服务器和组成员上配置相同的组标识符。

组策略在该组服务器上配置。为组配置的所有组策略都将下载到组成员。在组成员上配置的作用域策略确定成员上实际安装了哪些组策略。在此示例中,在组服务器上配置了以下组策略,用于下载到所有组成员:

  • p1 — 允许 10.1.0.0/16 到 10.2.0.0./16 的所有流量

  • p2 — 允许 10.2.0.0.0/16 到 10.1.0.0/16 的所有流量

  • p3 — 允许来自 10.1.1.1/32 的组播流量

Member1 设备配置了作用域策略,允许进出 10.0.0.0/8 子网的所有单播流量。Member1 上未配置作用域策略,无法允许多播流量;因此,member1 上未安装 SA 策略 p3。

Member2 设备配置了作用域策略,将从信任区域到不信任区域的流量丢弃从 10.1.0.0/16,并从不信任区域到信任区域 10.1.0.0/16。因此,member2 上未安装 SA 策略 p2。

配置

配置组服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置组服务器:

  1. 在设备上配置环回地址。

  2. 配置IKE第 1 阶段 SA(此配置必须与组成员上配置的第 1 阶段 SA 匹配)。

  3. 定义 IKE 策略并设置远程网关。

  4. 配置第 2 阶段 SA 交换。

  5. 配置组标识符和 IKE 网关。

  6. 配置服务器到成员的通信。

  7. 配置要下载到组成员的组策略。

成果

从配置模式,输入show security group-vpn server命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置 Member1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置 member1:

  1. 配置第 1 阶段 SA(此配置必须与组服务器上配置的第 1 阶段 SA 匹配)。

  2. 定义 IKE 策略并设置远程网关。

  3. 为 member1 配置组标识符、IKE 网关和接口。

    为防止数据包碎片问题,建议将组成员用于连接到 MPLS 网络的接口配置为不超过1400字节的 MTU 大小。使用set interface mtu配置语句设置 MTU 大小。

  4. 创建地址簿并将区域附加到其中。

  5. 将作用域策略从信任区域配置为允许单播流量进出 10.0.0.0/8 子网的不信任区域。

  6. 将不信任区域中的作用域策略配置为允许单播流量进出 10.0.0.0/8 子网的信任区域。

成果

在配置模式下,输入show security group-vpn membershow security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置 Member2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置 member2:

  1. 配置第 1 阶段 SA(此配置必须与组服务器上配置的第 1 阶段 SA 匹配)。

  2. 定义 IKE 策略并设置远程网关。

  3. 为 member2 配置组标识符、IKE 网关和接口。

    为防止数据包碎片问题,建议将组成员用于连接到 MPLS 网络的接口配置为不超过1400字节的 MTU 大小。使用set interface mtu配置语句设置 MTU 大小。

  4. 创建一个地址簿并将其附加到信任区域。

  5. 创建另一个通讯簿并将其附加到不信任区域。

  6. 将作用域策略从信任区域配置为阻止来自 10.1.0.0/16 的流量的不信任区域。

  7. 将作用域策略从不信任区域配置为阻止流量到 10.1.0.0/16 的信任区域。

成果

在配置模式下,输入show security group-vpn membershow security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

针对

要确认配置是否正常运行,请执行以下任务:

验证 Member1 的动态策略

用途

查看 member1 上安装的动态策略。

行动

在组服务器将密钥下载到 member1 后,从show security dynamic-policies操作模式输入命令。

含义

Member1 上未安装来自服务器的多播策略 p3,因为没有在 member1 上配置允许多播流量的作用域策略。

验证 Member2 的动态策略

用途

查看成员2上安装的动态策略。

行动

在组服务器将密钥下载到 member2 后,从show security dynamic-policies操作模式输入命令。

含义

来自服务器的策略 p2 (从 10.1.0.0/16 到 10.2.0.0/16 的流量)未安装在 member2 上,因为它与 member2 上配置的 deny2 安全策略匹配。

示例:配置组 VPNv1 单播 Rekey 消息的服务器成员通信

此示例演示如何使服务器能够向组成员发送单播 rekey 消息,以确保有效密钥可用于对组成员之间的流量进行加密。组 VPNv1 在 SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备上受支持。

要求

开始之前:

  • 配置组服务器和成员,以 IKE 阶段1协商。

  • 为阶段 2 IPsec SA 配置组服务器和成员。

  • 在组服务器g1上配置该组。

概述

在此示例中,您为组g1指定以下服务器成员通信参数:

  • 服务器向组成员发送单播 rekey 消息。

  • 3des 用于对服务器和成员之间的流量进行加密。

  • sha1 用于成员身份验证。

默认值用于服务器检测信号、KEK 生存时间和重传。

配置

操作

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置服务器成员通信:

  1. 设置通信类型。

  2. 设置加密算法。

  3. 设置成员身份验证。

针对

要验证配置是否正常运行,请输入show security group-vpn server group g1 server-member-communication命令。

示例:配置组 VPNv1 多播重新生成密钥消息的服务器成员通信

此示例演示如何使服务器能够向组成员发送多播重新生成密钥消息,以确保有效密钥可用于对组成员之间的流量进行加密。组 VPNv1 在 SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备上受支持。

要求

开始之前:

概述

在此示例中,您将为组g1指定以下服务器成员通信:

  • 服务器通过多播地址226.1.1.1 和接口 ge-0/0/1.0 向组成员发送多播重新生成密钥消息。

  • 3des 用于对服务器和成员之间的流量进行加密。

  • sha1 用于成员身份验证。

默认值用于服务器检测信号、KEK 生存时间和重传。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置多播重新生成密钥消息的服务器成员通信配置:

  1. 设置通信类型。

  2. 设置多播组。

  3. 设置传出多播消息的接口。

  4. 设置加密算法。

  5. 设置成员身份验证。

成果

从配置模式,输入show security group-vpn server group g1 server-member-communication命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

针对

要确认配置是否正常运行,请执行以下任务:

验证多播重新生成密钥消息的服务器成员通信

用途

验证是否正确配置了多播重新生成密钥消息的服务器成员通信参数,以确保有效密钥可用于对组成员之间的流量进行加密。

行动

在操作模式下,输入show security group-vpn server group g1 server-member-communication命令。

示例:使用服务器成员主机代管配置组 VPNv1

此示例说明如何为主机代管模式配置设备,使服务器和成员功能可在同一物理设备上共存。组 VPNv1 在 SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备上受支持。

要求

开始之前:

概述

配置主机代管模式时,组服务器和组成员功能可以在同一设备中共存。在主机代管模式中,服务器和成员必须具有不同的 IP 地址,才能正确传递数据包。

图 3中,组 VPN (组标识符为1)包含两个成员(member1 和 member2)和一个组服务器(回传接口的 IP 地址为20.0.0.1)。请注意,member1 共存与组服务器在同一设备中。在此示例中,member1 用于连接到 MPLS 网络(ge-0/1/0)的接口被分配了 IP 地址 10.1.0.1/32。

图 3: 服务器成员主机代管示例服务器成员主机代管示例

本主题中的配置说明介绍了如何为主机代管模式配置组服务器-member1 设备。要配置成员 2,请参阅 示例:配置组 VPNv1 服务器和成员

为防止数据包碎片问题,建议将组成员用于连接到 MPLS 网络的接口配置为不超过1400字节的 MTU 大小。使用set interface mtu配置语句设置 MTU 大小。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要使用服务器成员主机代管配置组 VPN:

  1. 在设备上配置环回地址。

  2. 配置 member1 用于连接 MPLS 网络的接口。

  3. 在设备上配置组 VPN 主机代管。

  4. 为IKE配置第 1 阶段 SA(此配置必须与在组成员上配置的第 1 阶段 SA 匹配)。

  5. 定义 IKE 策略并设置远程网关。

  6. 配置服务器的第 2 阶段 SA 交换。

  7. 在服务器上配置组标识符、IKE 网关、antireplay 时间和服务器地址。

  8. 将服务器配置为成员通信。

  9. 配置要下载到组成员的组策略。

  10. 为成员 1 配置第 1 阶段 SA(此配置必须与为组服务器配置的第 1 阶段 SA 匹配)。

  11. 定义策略并设置 member1 的远程网关。

  12. 为 member1 配置组标识符、IKE 网关和接口。

  13. 创建地址簿并将其附加到区域。

  14. 将作用域策略从信任区域配置为允许单播流量进出 10.0.0.0/8 子网的不信任区域。

  15. 将不信任区域中的作用域策略配置为允许单播流量进出 10.0.0.0/8 子网的信任区域。

成果

从配置模式中输入show security group-vpn and show security policies命令,以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

在已配置的安全策略列表中,确保范围策略列在默认策略之前。

如果您完成了设备配置,请从commit配置模式进入。

针对

要确认配置是否正常运行,请执行以下任务:

验证组 VPN 成员注册

用途

验证组 VPN 成员是否正确注册。

行动

在操作模式下,输入show security group-vpn registered-members命令。

验证 IKE 的组 VPN 服务器安全关联

用途

验证用于 IKE 的组 VPN 服务器的 SAs。

行动

在操作模式下,输入show security group-vpn server ike security-associations命令。

验证 IPsec 的组 VPN 服务器安全关联

用途

验证用于 IPsec 的组 VPN 服务器的 Sa。

行动

在操作模式下,输入show security group-vpn server ipsec security-associations命令。

验证 IKE 的组 VPN 成员安全关联

用途

验证 IKE 的组 VPN 成员的 SAs。

行动

在操作模式下,输入show security group-vpn member ike security-associations命令。

验证 IPsec 的组 VPN 成员安全关联

用途

验证用于 IPsec 的组 VPN 成员的 Sa。

行动

在操作模式下,输入show security group-vpn member ipsec security-associations命令。

发布历史记录表
版本
说明
12.3X48-D30
从 Junos OS Release 12.3 X48-D30、Group VPNv1 成员可与组 VPNv2 服务器交互操作。
12.3X48-D30
从 Junos OS Release 12.3 X48-D30、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550 和 SRX650 设备上的 Group VPNv1 成员可与组 VPNv2 服务器交互操作。