Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

组 VPNv1

组 VPN 是保护 IP 组播组流量或通过私有 WAN(源自设备上或通过设备流)传输的单播流量所必需的功能集。

组 VPNv1 概述

IPsec 安全关联 (SA) 是虚拟专用网络 (VPN) 参与方之间的单向协议,定义了用于身份验证和加密算法、密钥交换机制和安全通信的规则。通过当前的 VPN 实施,SA 是两个安全设备之间的点对点隧道。组 VPNv1 扩展了 IPsec 架构,以支持由一组安全设备共享的 SA(请参阅 图 1)。

图 1: 标准 IPsec VPN 和组 VPNv1标准 IPsec VPN 和组 VPNv1

SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备支持 VPNv1 组。通过组 VPNv1,可在外部标头中保留原始源地址和目标 IP 地址,从而实现任意到任意连接。安全组播数据包的复制方式与核心网络中的明文组播数据包相同。

从 Junos OS 12.3X48-D30 版本开始,VPNv1 组成员可与组 VPNv2 服务器互操作。

组 VPNv1 对 RFC 6407( 解释组域 (GDOI) 有一些专有限制。要在不受专有限制的情况下使用组 VPN,请升级到组 VPNv2。从 Junos OS 15.1X49-D30 版开始,vSRX 实例支持 VPNv2 组,从 Junos OS 版本 15.1X49-D40 开始的 SRX 系列设备,以及从 Junos OS 版本 15.1r2 开始的 MX 系列设备。

了解组 VPNv1 的 GDOI 协议

组 VPNv1 基于 RFC 3547 ,即解释组域 (GDOI)。本 RFC 介绍组成员与组服务器之间在组成员之间建立 SA 的协议。GDOI 消息为一组设备创建、维护或删除 SA。GDOI 协议在端口 848 上运行。

互联网安全协会和密钥管理协议 (ISAKMP) 定义了两个协商阶段,以便为 AutoKey IKE IPsec 隧道建立 SA。第 1 阶段允许两台设备建立 ISAKMP SA。第 2 阶段为 GDOI 等其他安全协议建立了 SA。

使用组 VPN 时,组服务器与组成员之间将执行第 1 阶段 ISAKMP SA 协商。服务器和成员必须使用相同的 ISAKMP 策略。在第 2 阶段,服务器和成员之间的 GDOI 交换会建立与其他组成员共享的 SA。组成员无需与其他组成员协商 IPsec。第 2 阶段的 GDOI 交换必须受到 ISAKMP 第 1 阶段 SA 的保护。

GDOI 交换有两种类型:

  • groupkey-pull 交换允许成员从服务器请求组共享的 SA 和密钥。

  • 交换 groupkey-push 是一条重新密钥消息,允许服务器在现有组 SA 到期前向成员发送组 SA 和密钥。重新密钥消息是从服务器发送给成员的未经请求的消息。

了解组 VPNv1 限制

本版本不支持以下内容用于组 VPNv1:

  • 非默认路由实例

  • 机箱群集

  • 服务器群集

  • 基于路由的组 VPN

  • 基于公共互联网的部署

  • SNMP

  • 拒绝 Cisco GET VPN 服务器的策略

  • 用于配置和监控的 J-Web 界面

从 Junos OS 12.3X48-D30 版本开始,SRX100、SRX110、SRX210、SRX220、SRX240、SRX550 和 SRX650 设备上的 VPNv1 组成员可以与组 VPNv2 服务器互操作。将 VPNv1 组成员配置为与组 VPNv2 服务器配合使用时,请注意以下限制:

  • 组 VPNv2 支持基于时间的反回放机制的 IETF 规范草案 IP 交付延迟检测协议 。因此,组 VPNv1 成员不支持基于 IP 交付延迟检测协议的反回放,并且必须在组 VPNv2 服务器上使用 deactivate security group-vpn server group group-name anti-replay-time-window 命令禁用。

  • 组 VPNv2 服务器不支持主机代管,其中组服务器和组成员功能存在于同一设备中。

  • 组 VPNv2 服务器不支持心跳传输。必须在使用 命令的组 VPNv1 成员 deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold 上禁用心跳。我们建议使用组 VPNv2 服务器群集,以避免由于组 VPNv2 服务器重新启动或其他中断而影响流量。

  • 从组 VPNv2 服务器发送的 Groupkey-push 消息基于 RFC 6407 ,即解释组域 (GDOI), 在组 VPNv1 成员中不受支持。因此,组键推送消息必须在组 VPNv2 服务器上使用 deactivate security group-vpn server group group-name server-member-communication 命令禁用。

    分组密钥拉消息支持重新密钥。如果存在 VPNv1 组成员无法在 TEK 硬性生存期过期之前完成组钥匙拉操作的扩展问题,我们建议延长 TEK 生存期,以便成员有足够时间完成组钥匙拉操作。瞻博网络的扩展编号具有 2 小时 TEK 生存期的资格。

  • 如果组 VPNv2 服务器重新启动或升级,或者清除组的 SA,则在为现有成员进行下一个重新密钥之前,无法将新成员添加到网络中。新成员无法将流量发送至具有旧密钥的现有成员。作为解决方法,使用 命令清除现有组 VPNv1 成员 clear security group-vpn member ipsec security-associations 上的 SA。

  • 由于组 VPNv2 成员不支持组播数据流量,因此当组 VPNv1 和组 VPNv2 成员在同一组的网络中共存时,将无法使用组播数据流量。

了解组 VPNv1 服务器和成员

组 VPN 的中心是组服务器。组服务器执行以下任务:

  • 控制组成员资格

  • 生成加密密钥

  • 管理组 SA 和密钥,并将它们分配给组成员

组成员根据组 SA 和组服务器提供的密钥对信息流进行加密。

组服务器可以为多个组提供服务。单个安全设备可以是多个组的成员。

每个组由一个组标识符表示,该标识符的编号在 1 到 65,535 之间。组服务器和组成员通过组标识符链接在一起。每个组只能有一个组标识符,多个组不能使用同一组标识符。

以下是对组 VPN 服务器和成员操作的高级视图:

  1. 组服务器在 UDP 端口 848 上侦听成员注册。成员设备必须提供正确的 IKE 第 1 阶段身份验证才能加入组。支持按成员进行预共享密钥认证。

  2. 成功认证和注册后,成员设备会通过 GDOI groupkey-pull 交换从服务器检索组 SA 和密钥。

  3. 服务器将成员添加到组的成员中。

  4. 组成员交换使用组 SA 密钥加密的数据包。

服务器会定期向组件发送 SA 和密钥更新,并使用重新密钥 (GDOI groupkey-push) 消息对成员进行分组。重新密钥消息将在 SA 到期前发送;从而确保可以使用有效的密钥对组成员之间的流量进行加密。

当组成员资格发生变化或组 SA 发生变化时,服务器还会发送重新密钥消息,以向成员提供新密钥。

了解组 VPNv1 服务器成员通信

SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备支持 VPNv1 组。服务器成员通信允许服务器向成员发送 GDOI groupkey-push 消息。如果未为组配置服务器成员通信,成员可以发送 GDOI groupkey-pull 消息以在服务器上注册和重新注册,但是服务器无法向成员发送重新密钥消息。

服务器成员通信使用 [edit security group-vpn server] 层次结构中的server-member-communication 配置语句为组配置。可以定义以下选项:

  • 用于服务器和成员之间通信的加密算法。您可以指定 3des-cbc、aes-128-cbc、aes-192-cbc、aes-256-cbc 或 des-cbc。没有默认算法。

  • 用于对成员进行服务器验证的身份验证算法(md5 或 sha1)。没有默认算法。

  • 无论是服务器向与通信类型相关的组成员和参数发送单播或组播重新密钥消息。

  • 服务器向组成员发送心跳消息的间隔时间。这允许成员确定服务器是否已重新启动,这将要求该成员在服务器上重新注册。默认为 300 秒。

  • 密钥加密密钥 (KEK) 的生存期。默认为 3600 秒。

对于组服务器而言,配置服务器成员通信是向成员发送重新密钥消息的必要条件,但可能存在不需要这种行为的情况。例如,如果组成员是动态对等方(如在家庭办公室),设备并不总是正常运行,并且设备的 IP 地址每次通电时可能有所不同。为一组动态对等方配置服务器成员通信可能会导致服务器进行不必要的传输。如果您希望始终执行 IKE 第 1 阶段 SA 协商以保护 GDOI 协商,请勿配置服务器成员通信。

如果未配置某个组的服务器成员通信,则命令显示 show security group-vpn server registered-members 的成员列表显示已在服务器上注册的组成员;成员是否处于活动状态。配置组的服务器成员通信时,将清除组成员名单。如果通信类型配置为单播, show security group-vpn server registered-members 则命令仅显示活动成员。如果通信类型配置为组播, show security group-vpn server registered-members 命令将显示在配置后在服务器上注册的成员;成员名单不一定代表活动成员,因为成员可能会在注册后退出。

了解组 VPNv1 组关键操作

本主题包含以下部分:

组密钥

组服务器维护一个数据库,以跟踪 VPN 组、组成员和组密钥之间的关系。服务器下载给成员的组密钥有两种:

  • 密钥加密密钥 (KEK)—用于加密重新密钥消息。每个组支持一个 KEK。

  • 流量加密密钥 (TEK)—用于对组成员之间的 IPsec 数据流量进行加密和解密。

仅当成员上配置了匹配范围策略时,与 SA 关联的密钥才会被组成员接受。已为组 VPN 安装接受密钥,而已拒绝的密钥将被丢弃。

重新密钥消息

如果组配置为服务器成员通信,服务器将定期向组成员发送 SA 和密钥更新,并使用重新密钥 (GDOI groupkey-push) 消息进行分组。重新密钥消息将在 SA 到期前发送;从而确保可以使用有效的密钥对组成员之间的流量进行加密。

当组成员数发生变化或 SA 组更改时,服务器还会发送重新密钥消息,以向成员提供新密钥(例如,添加或删除组策略)。

服务器成员通信选项必须在服务器上配置,以便服务器向组成员发送重新密钥消息。这些选项指定消息的类型和发送消息的间隔,如下部分所述:

有两种类型的重新密钥消息:

  • 单播重新密钥消息 — 组服务器向每个组成员发送一封重新密钥消息。收到重新密钥消息后,成员必须向服务器发送确认 (ACK)。如果服务器未从成员处接收 ACK(包括重新传输重新密钥消息),服务器会认为该成员处于非活动状态,并将其从成员列表中删除。服务器停止向成员发送重新密钥消息。

    服务器 number-of-retransmission 成员通信的和 retransmission-period 配置语句可控制服务器在未从成员收到 ACK 时对重新密钥消息的共鸣。

  • 组播重新密钥消息 — 组服务器从指定的传出接口将重新密钥消息的一个副本发送至配置的组播组地址。会员不会发送确认收到组播重新密钥消息。注册会员名单不一定代表活跃成员,因为成员可能会在初始注册后退出。组的所有成员都必须配置为支持组播消息。

    IP 组播协议必须配置为允许在网络中交付组播信息流。有关在瞻博网络设备上配置组播协议的详细信息,请参阅 组播协议用户指南

服务器发送重新密钥消息的间隔是根据 [edit security group-vpn server group] 层次结构中的和activation-time-delay配置语句的lifetime-seconds值计算得出的。间隔计算为 lifetime-seconds minus 4*(activation-time-delay)

lifetime-seconds KEK 配置为服务器成员通信的一部分;默认为 3600 秒。lifetime-seconds TEK 的配置为 IPsec 提议;默认为 3600 秒。activation-time-delay为服务器上的组配置;默认为 15 秒。使用服务器发送重新密钥消息的默认值 lifetime-secondsactivation-time-delay间隔为 3600 minus 4*15, 或 3540 秒。

会员注册

如果组成员在当前密钥到期前未从服务器接收到新的 SA 密钥,则成员必须重新注册服务器并使用 GDOI groupkey-pull 交换获取更新的密钥。在这种情况下,服务器发送重新密钥消息的间隔计算如下:lifetime-seconds 减去 3*(activation-time-delay)。使用服务器发送重新密钥消息的默认值 lifetime-secondsactivation-time-delay3600 减 3*15 或 3555 秒。

由于以下原因,可以重新注册成员:

  • 该成员检测到服务器在服务器接收到的心跳缺失的情况下重新启动服务器。

  • 来自组服务器的重新密钥消息将丢失或延迟,并且 TEK 的使用寿命已过期。

密钥激活

当成员从服务器接收新密钥时,会等待一段时间,然后再使用密钥进行加密。此期间由 activation-time-delay 配置语句 决定,以及密钥是通过从服务器发送的重新密钥消息还是通过成员重新注册服务器的结果来接收。

如果通过从服务器发送的重新密钥消息接收密钥,则该成员将等待 2*(activation-time-delay) 秒,然后再使用密钥。如果通过成员重新注册接收密钥,则成员将等待由 activation-time-delay 值指定的秒数。

成员会保留从服务器发送的两个最近密钥,以用于安装在成员上的每个组 SA。两个密钥均可用于解密,而最近密钥用于加密。新密钥激活后,卸下前一个密钥的 activation-time-delay 值指定的秒数。

配置语句的 activation-time-delay 默认值为 15 秒。将此时间段设置为过小可能会导致在安装新密钥之前将数据包丢弃在远程组成员处。更改值时 activation-time-delay ,请考虑网络拓扑和系统传输延迟。对于单播传输,系统传输延迟与组成员数量成正比。

一组 VPNv1 服务器可以响应 groupkey-pull 请求将多个信息流加密密钥 (TEKs) 发送至组 VPNv1 成员。下文介绍了 VPNv1 组成员如何处理现有 TEK 及其从服务器接收的 TEK:

  • 如果组 VPNv1 成员收到两个或更多 TEK,则保留最近两个 TEK 并删除现有 TEK。在两个持有的 TEK 中,较旧的 TEK 立即激活,而较新的 TEK 在组 VPNv1 服务器上配置完成后 activation-time-delay 激活(默认为 15 秒)。

  • 如果组 VPNv1 成员仅收到一个 TEK,或者如果通过 groupkey-push 服务器的消息接收 TEK,则在硬性生存期过期之前,现有 TEK 不会被删除。现有 TEK 的寿命不会缩短。

即使 TEK 的使用寿命不到值的两倍,组 VPNv1 成员仍会安装收到的 activation-time-delay TEK。

了解组 VPNv1 心跳消息

配置服务器成员通信时,组 VPNv1 服务器会以指定的时间间隔向成员发送心跳消息(默认间隔为 300 秒)。如果未接收指定数量的心跳,心跳机制允许成员重新注册服务器。例如,在服务器重新启动期间,成员不会收到心跳消息。服务器重新启动后,成员将重新注册服务器。

心跳通过 groupkey-push 消息传送。序列号在每个心跳消息上递增,保护成员免受回复攻击。与重新密钥消息不同,心跳消息不会得到接收方的认可,也不会由服务器重新传输。

心跳消息包含以下信息:

  • 服务器上的密钥的当前状态和配置

  • 相对时间,如果启用了反回放

通过比较心跳中的信息,成员可以检测其是否错过了服务器信息或重新密钥消息。成员重新注册以与服务器同步。

心跳消息可能会增加网络拥塞并导致不必要的成员重新注册。因此,如有必要,可以在成员上禁用心跳检测。

了解组 VPNv1 服务器成员主机代管模式

组服务器和组成员功能是独立的,不会重叠。服务器和成员功能可共存于称为主机代管模式的相同物理设备中。在主机代管模式下,服务器或成员的功能和行为没有变化,但服务器和成员都需要分配不同的 IP 地址,以便能够正确交付数据包。在主机代管模式下,只有一个 IP 地址分配给服务器,一个 IP 地址跨组分配给成员。

组 VPNv1 配置概述

本主题介绍配置组 VPNv1 的主要任务。

在组服务器上,配置以下内容:

  1. IKE 第 1 阶段协商。使用 [edit security group-vpn server ike] 层次结构配置 IKE 第 1 阶段 SA。请参阅 了解 VPNv2 组的 IKE 第 1 阶段配置
  2. 第 2 阶段 IPsec SA。请参阅 了解 VPNv1 组的 IPsec SA 配置
  3. VPN 组。请参阅 组 VPNv1 配置概述

在组成员上,配置以下内容:

  1. IKE 第 1 阶段协商。使用 [edit security group-vpn member ike] 层次结构配置 IKE 第 1 阶段 SA。请参阅 了解 VPNv1 组的 IKE 第 1 阶段配置

  2. 第 2 阶段 IPsec SA。请参阅 了解 VPNv1 组的 IPsec SA 配置

  3. 范围策略,用于确定成员上安装了哪些组策略。请参阅 了解组 VPNv1 的动态策略

为防止数据包分片问题,建议为最大传输单元 (MTU) 大小不超过 1400 字节的组成员用于连接到 MPLS 网络的接口进行配置。set interface mtu使用配置语句设置 MTU 大小。

VPN 组在服务器上配置, group 配置语句 位于 [edit security group-vpn server] 层次结构中。

组信息包含以下信息:

  • 组标识符 — 标识 VPN 组的值在 1 到 65,535 之间。必须在 Autokey IKE 的组成员上配置同一组标识符。

  • 组成员,如配置语句所 ike-gateway 配置。此配置语句可能有多个实例,组中每个成员一个。

  • 服务器的 IP 地址(建议使用环路接口地址)。

  • 组策略 — 要下载给成员的策略。组策略描述 SA 和密钥应用到的信息流。请参阅 了解组 VPNv1 的动态策略

  • 服务器成员通信 — 可选配置,允许服务器向成员发送重新密钥消息。请参阅 组 VPNv1 概述

  • 反回放 — 可检测数据包拦截和回放的可选配置。请参阅 了解组 VPNv1 的 Antireplay

了解 VPNv1 组的 IKE 第 1 阶段配置

组服务器与组成员之间的 IKE 第 1 阶段 SA 建立一个安全通道,用于协商由组共享的 IPsec SA。对于瞻博网络安全设备上的标准 IPsec VPN,第 1 阶段 SA 配置包括指定 IKE 提议、策略和网关。对于组 VPNv1,IKE Phase 1 SA 配置类似于标准 IPsec VPN 的配置,但在 [edit security group-vpn] 层次结构中执行。

在 IKE 提议配置中,您将设置身份验证方法以及将用于在参与方之间打开安全通道的身份验证和加密算法。在 IKE 策略配置中,您设置将协商第 1 阶段通道的模式(主或积极),指定要使用的密钥交换类型,并参考第 1 阶段提议。在 IKE 网关配置中,您参考第 1 阶段策略。

由于 VPNv2 组仅支持强大的算法,因此 SRX100、SRX110、SRX210、SRX220、 sha-256 SRX240、SRX550 和 SRX650 设备上的组 VPNv1 成员支持认证算法选项。当组 VPNv1 成员与组 VPNv2 服务器互操作时,必须在具有 命令的 Group VPNv1 成员 edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 上配置此选项。在组 VPNv2 服务器上, authentication-algorithm sha-256 必须为 IKE 提议配置,并且 authentication-algorithm hmac-sha-256-128 必须为 IPsec 提议配置。

如果组 VPNv1 成员上的 IKE 网关配置了多个网关地址,则在提交配置时将显示错误消息“每个 IKE 网关配置只允许配置一个远程地址”。

组服务器上的 IKE 第 1 阶段配置必须与组成员的 IKE 第 1 阶段配置匹配。

了解 VPNv1 组的 IPsec SA 配置

服务器和成员在第 1 阶段协商中建立安全且经过身份验证的通道后,会继续进行到第 2 阶段。第 2 阶段协商建立由组成员共享的 IPsec SA,以保护成员之间传输的数据。虽然 VPN 组的 IPsec SA 配置类似于标准 VPN 的配置,但组成员无需与其他组成员协商 SA。

VPNv1 组的第 2 阶段 IPsec 配置包含以下信息:

  • 要用于 SA 的安全协议、身份验证和加密算法提议。IPsec SA 提议在组服务器上配置, proposal 配置语句 在 [edit security group-vpn server ipsec] 层次结构中。

  • 参考提议的组策略。组策略指定了 SA 和密钥应用的信息流(协议、源地址、源端口、目标地址和目标端口)。组策略在服务器上配置, ipsec-sa 配置语句位于 [edit security group-vpn server group ] 层次结构中。

  • 引用组标识符、组服务器( ike-gateway 配置语句配置)以及成员用于连接到组的接口的 Autokey IKE。Autokey IKE 在成员上配置, ipsec vpn 配置语句位于 [edit security group-vpn member] 层次结构中。

了解组 VPNv1 的动态策略

组服务器向指定组的成员分配组 SA 和密钥。属于同一组的所有成员均可共享同一组 IPsec SA。但并非所有为组配置的 SA 都安装在每个组成员上。特定成员上安装的 SA 由与组 SA 和成员上配置的安全策略相关联的策略决定。

在 VPN 组中,服务器推送至成员的每个组 SA 和密钥都与组策略相关联。组策略介绍应使用密钥的流量,包括协议、源地址、源端口、目标地址和目标端口。

相同(配置相同的源地址、目标地址、源端口、目标端口和协议值)的组策略不能存在于单个组中。如果尝试提交包含组相同组策略的配置,则会返回错误。如果是这样的话,则必须删除同一组策略之一。

在组成员上,必须配置范围策略,定义从服务器下载的组策略的范围。从服务器分布的组策略与在成员上配置的范围策略进行比较。要在成员上安装组策略,必须满足以下条件:

  • 组策略中指定的任何地址都必须在范围策略中指定的地址范围内。

  • 组策略中指定的源端口、目标端口和协议必须与范围策略中配置的端口、目标端口和协议匹配。

在成员上安装的组策略称为动态策略。

范围策略可以是特定从区域和到区域环境的有序安全策略列表的一部分。Junos OS 会从订购列表顶部开始对传入数据包执行安全策略查找。

根据范围策略在有序安全策略列表中的位置,动态策略查找存在几种可能性:

  • 如果传入数据包在考虑范围策略之前与安全策略匹配,则不会发生动态策略查找。

  • 如果传入策略与范围策略匹配,搜索过程将继续以查找匹配的动态策略。如果有匹配的动态策略,则执行该策略操作(允许)。如果没有匹配的动态策略,搜索过程将继续搜索范围下方策略。

    在此版本中 tunnel ,范围策略仅允许操作。不支持其他操作。

通过在 [edit security] 层次结构中使用policies 配置语句,您可以在组成员上配置范围策略。ipsec-group-vpn使用许可隧道规则中的配置语句引用组 VPN;这允许组成员共享一个 SA。

了解组 VPNv1 的 Antireplay

Antireplay 是一项 IPsec 功能,可检测数据包何时被拦截,然后被攻击者重放。默认情况下,VPN 组启用了 Antireplay,但使用 no-anti-replay 配置语句的组可禁用。

启用反回放后,组服务器会同步组成员之间的时间。每个 IPsec 数据包都包含一个时间戳。组成员检查数据包的时间戳是否属于配置 anti-replay-time-window 的值(默认值为 100 秒)。如果时间戳超过值,数据包将被丢弃。

示例:配置组 VPNv1 服务器和成员

此示例说明如何配置组 VPNv1 以扩展 IPsec 架构以支持由一组安全设备共享的 SA。SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备支持 VPNv1 组。

要求

开始之前:

概述

图 2中,一组 VPN 由两个成员设备(成员1 和成员2)和一个组服务器(服务器上环路接口的 IP 地址为 20.0.0.1)组成。组标识符为 1。

图 2: 服务器成员配置示例服务器成员配置示例

第 2 阶段组 VPN SA 必须受第 1 阶段 SA 保护。因此,组 VPN 配置必须包括在组服务器和组成员上配置 IKE 第 1 阶段协商。此外,必须在组服务器和组成员上配置同一组标识符。

组策略在组服务器上配置。为某个组配置的所有组策略都会下载到组成员中。在组成员上配置的范围策略确定在成员上实际安装了哪个组策略。在此示例中,组服务器上配置了以下组策略,以便下载到所有组成员:

  • p1 — 允许从 10.1.0.0/16 到 10.2.0.0./16 的所有流量

  • p2 — 允许从 10.2.0.0./16 到 10.1.0.0/16 的所有流量

  • p3 — 允许 10.1.1.1/32 之间的组播流量

成员 1 设备配置了范围策略,允许所有单播流量往返于 10.0.0.0/8 子网。在成员 1 上未配置范围策略以允许组播流量;因此,SA 策略 p3 未安装在成员 1 上。

成员 2 设备配置了范围策略,可将从信任区域的流量从 10.1.0.0/16 丢弃到不信任区域,将来自不信任区域的信息流从不信任区域丢弃至 10.1.0.0/16。因此,SA 策略 p2 未安装在成员 2 上。

配置

配置组服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置组服务器:

  1. 配置设备上的环路地址。

  2. 配置 IKE 第 1 阶段 SA(此配置必须与组成员上配置的第 1 阶段 SA 匹配)。

  3. 定义 IKE 策略并设置远程网关。

  4. 配置第 2 阶段 SA 交换。

  5. 配置组标识符和 IKE 网关。

  6. 配置服务器到成员的通信。

  7. 配置要下载到组成员的组策略。

结果

在配置模式下,输入 show security group-vpn server 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

配置成员1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置成员1:

  1. 配置第 1 阶段 SA(此配置必须与组服务器上配置的第 1 阶段 SA 匹配)。

  2. 定义 IKE 策略并设置远程网关。

  3. 配置成员 1 的组标识符、IKE 网关和接口。

    为防止数据包分片问题,建议为不大于 1400 字节的 MTU 大小配置组成员用于连接到 MPLS 网络的接口。set interface mtu使用配置语句设置 MTU 大小。

  4. 创建地址簿并附加区域。

  5. 配置从信任区域到不信任区域的范围策略,允许单播流量往返于 10.0.0.0/8 子网。

  6. 配置从不信任区域到信任区域的范围策略,允许单播流量往返于 10.0.0.0/8 子网。

结果

在配置模式下,输入 show security group-vpn membershow security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

配置成员2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置成员2:

  1. 配置第 1 阶段 SA(此配置必须与组服务器上配置的第 1 阶段 SA 匹配)。

  2. 定义 IKE 策略并设置远程网关。

  3. 配置成员 2 的组标识符、IKE 网关和接口。

    为防止数据包分片问题,建议为不大于 1400 字节的 MTU 大小配置组成员用于连接到 MPLS 网络的接口。set interface mtu使用配置语句设置 MTU 大小。

  4. 创建地址簿并将其附加到信任区域。

  5. 创建另一本通讯簿并将其附加到不信任区域。

  6. 配置从信任区域到不信任区域的范围策略,阻止流量从 10.1.0.0/16。

  7. 配置从不信任区域到信任区域的范围策略,将流量阻止到 10.1.0.0/16。

结果

在配置模式下,输入 show security group-vpn membershow security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证成员的动态策略1

目的

查看成员 1 上安装的动态策略。

行动

组服务器将密钥下载到成员 1 之后,从操作模式输入 show security dynamic-policies 命令。

意义

服务器上的组播策略 p3 未安装在成员 1 上,因为成员 1 上未配置允许组播流量的范围策略。

验证成员的动态策略2

目的

查看成员 2 上安装的动态策略。

行动

组服务器将密钥下载到成员 2 后,从操作模式输入 show security dynamic-policies 命令。

意义

来自服务器的策略 p2(对于从 10.1.0.0/16 到 10.2.0.0/16 的流量)未安装在成员 2 上,因为它与成员 2 上配置的拒绝安全策略匹配。

示例:为单播重新密钥消息配置组 VPNv1 服务器成员通信

此示例说明如何使服务器向组成员发送单播重新密钥消息,以确保有有效的密钥可用于加密组成员之间的流量。SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备支持 VPNv1 组。

要求

开始之前:

  • 配置组服务器和成员进行 IKE 第 1 阶段协商。

  • 配置第 2 阶段 IPsec SA 的组服务器和成员。

  • 在组服务器上配置组 g1

概述

在此示例中,您为组 g1指定以下服务器成员通信参数:

  • 服务器向组成员发送单播重新密钥消息。

  • 3des-cbc 用于加密服务器和成员之间的流量。

  • sha1 用于成员身份验证。

默认值用于服务器心跳、KEK 生存期和重新传输。

配置

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置服务器成员通信:

  1. 设置通信类型。

  2. 设置加密算法。

  3. 设置成员身份验证。

验证

要验证配置是否正常工作,请输入 show security group-vpn server group g1 server-member-communication 命令。

示例:为组播重新密钥消息配置组 VPNv1 服务器成员通信

此示例说明如何使服务器向组成员发送组播重新密钥消息,以确保有有效的密钥可用于加密组成员之间的流量。SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备支持 VPNv1 组。

要求

开始之前:

概述

在此示例中,您为组 g1指定以下服务器成员通信:

  • 服务器通过组播地址 226.1.1.1.1 和接口 ge-0/0/1.0 向组播成员发送组播重新密钥消息。

  • 3des-cbc 用于加密服务器和成员之间的流量。

  • sha1 用于成员身份验证。

默认值用于服务器心跳、KEK 生存期和重新传输。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要为组播重新密钥消息配置服务器成员通信:

  1. 设置通信类型。

  2. 设置组播组。

  3. 设置传出组播消息的接口。

  4. 设置加密算法。

  5. 设置成员身份验证。

结果

在配置模式下,输入 show security group-vpn server group g1 server-member-communication 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证组播重新密钥消息的服务器成员通信

目的

验证组播重新密钥消息的服务器成员通信参数是否配置正确,以确保有有效的密钥可用于加密组成员之间的流量。

行动

在操作模式下,输入 show security group-vpn server group g1 server-member-communication 命令。

示例:使用服务器成员主机代管配置组 VPNv1

此示例说明如何为主机代管模式配置设备,允许服务器和成员功能在同一物理设备上共存。SRX100、SRX110、SRX210、SRX220、SRX240 和 SRX650 设备支持 VPNv1 组。

要求

开始之前:

概述

配置主机代管模式时,组服务器和组成员功能可在同一设备中共存。在主机代管模式下,服务器和成员必须具有不同的 IP 地址,以便数据包能够正确交付。

图 3中,一个组 VPN(组标识符为 1)由两个成员(成员 1 和成员2)和一个组服务器(环路接口的 IP 地址为 20.0.0.1)组成。请注意,member1 与组服务器在同一设备中共存。在此示例中,成员 1 用于连接到 MPLS 网络 (ge-0/1/0) 的接口被分配为 IP 地址 10.1.0.1/32。

图 3: 服务器成员主机代管示例服务器成员主机代管示例

本主题中的配置说明介绍如何将组服务器成员 1 设备配置为主机代管模式。要配置成员 2,请参阅 示例:配置组 VPNv1 服务器和成员

为防止数据包分段问题,建议为不大于 1400 字节的 MTU 大小配置组成员用于连接到 MPLS 网络的接口。set interface mtu使用配置语句设置 MTU 大小。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要使用服务器成员主机代管配置组 VPN:

  1. 配置设备上的环路地址。

  2. 配置成员 1 用于连接到 MPLS 网络的接口。

  3. 在设备上配置组 VPN 主机代管。

  4. 为服务器配置 IKE 第 1 阶段 SA(此配置必须与组成员上配置的第 1 阶段 SA 匹配)。

  5. 定义 IKE 策略并设置远程网关。

  6. 为服务器配置第 2 阶段 SA 交换。

  7. 在服务器上配置组标识符、IKE 网关、反回放时间和服务器地址。

  8. 将服务器配置为成员通信。

  9. 配置要下载到组成员的组策略。

  10. 为成员 1 配置第 1 阶段 SA(此配置必须与为组服务器配置的第 1 阶段 SA 匹配)。

  11. 定义策略并为成员设置远程网关1。

  12. 配置成员 1 的组标识符、IKE 网关和接口。

  13. 创建地址簿并将它们附加到区域。

  14. 配置从信任区域到不信任区域的范围策略,允许单播流量往返于 10.0.0.0/8 子网。

  15. 配置从不信任区域到信任区域的范围策略,允许单播流量往返于 10.0.0.0/8 子网。

结果

在配置模式下,输入 show security group-vpn show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

在配置的安全策略列表中,请确保在默认策略之前列出范围策略。

如果完成设备配置,请在配置模式下输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证组 VPN 成员注册

目的

验证组 VPN 成员是否已正确注册。

行动

在操作模式下,输入 show security group-vpn registered-members 命令。

验证 IKE 的组 VPN 服务器安全关联

目的

验证 IKE 的组 VPN 服务器的 SA。

行动

在操作模式下,输入 show security group-vpn server ike security-associations 命令。

验证 IPsec 的组 VPN 服务器安全关联

目的

验证 IPsec 的组 VPN 服务器的 SA。

行动

在操作模式下,输入 show security group-vpn server ipsec security-associations 命令。

验证 IKE 的组 VPN 成员安全关联

目的

验证 IKE 的组 VPN 成员的 SA。

行动

在操作模式下,输入 show security group-vpn member ike security-associations 命令。

验证 IPsec 的组 VPN 成员安全关联

目的

验证 IPsec 的组 VPN 成员的 SA。

行动

在操作模式下,输入 show security group-vpn member ipsec security-associations 命令。

发布历史记录表
版本
说明
12.3X48-D30
从 Junos OS 12.3X48-D30 版本开始,VPNv1 组成员可与组 VPNv2 服务器互操作。
12.3X48-D30
从 Junos OS 12.3X48-D30 版本开始,SRX100、SRX110、SRX210、SRX220、SRX240、SRX550 和 SRX650 设备上的 VPNv1 组成员可以与组 VPNv2 服务器互操作。