Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

组 VPNv2 服务器群集

组 VPNv2 服务器群集提供组控制器/密钥服务器 (GCKS) 冗余,因此整个组 VPN 网络没有单点故障。

了解组 VPNv2 服务器群集

在组解释域 (GDOI) 协议中,组控制器/密钥服务器 (GCKS) 管理组 VPN 安全关联 (SA),并生成加密密钥并将它们分配给组成员。组成员根据组 SA 和 GCKS 提供的密钥对信息流进行加密。如果 GCKS 发生故障,组成员将无法注册或获取密钥。组 VPNv2 服务器群集提供 GCKS 冗余,因此整个组 VPN 网络没有单点故障。组 VPNv2 服务器群集还可提供负载平衡、扩展和链路冗余。

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。在 SRX 系列设备或 vSRX 实例上,必须支持组 VPNv2 服务器群集中的所有服务器。组 VPNv2 服务器群集是瞻博网络的专有解决方案,与其他供应商的 GCKS 没有互操作性。

根服务器和子服务器

一组 VPNv2 服务器群集由一个根服务器组成,最多包含四个连接的子服务器。集群中的所有服务器都共享相同的 SA 和加密密钥,这些密钥分发给组 VPNv2 成员。集群中的服务器可位于不同站点,如 中 图 1所示。

图 1: 组 VPNv2 服务器群集组 VPNv2 服务器群集

集群中的服务器之间的消息由 IKE SA 加密并认证。根服务器负责向子服务器生成和分配加密密钥;因此,我们建议将 root 服务器配置为机箱群集。子服务器是单个设备,不能是机箱群集。尽管无需子服务器之间的直接链路,但子服务器必须能够连接到根服务器。

如果子服务器失去与根服务器的连接,则不允许从组成员进一步连接到子服务器,并且会删除 SA。因此,我们建议您使用不同的链路将每个子服务器连接到 root 服务器。

组 VPNv2 服务器群集在 [edit security group-vpn server group-name] 层次结构级别中配置语server-cluster句。必须为群集中的每个服务器配置以下值:

  • 服务器角色 — 指定任一 root-serversub-server。给定服务器可以是多个组 VPNv2 服务器群集的一部分,但它在所有群集中都必须具有相同的服务器角色。服务器不能配置一个组中的 root 服务器角色和另一组中的子服务器角色。

    您必须确保组 VPNv2 服务器群集随时只有一个根服务器。

  • IKE 网关 — 指定在 [edit security group-vpn server ike] 层次结构级别上配置的 IKE 网关的名称。对于根服务器,IKE 网关必须是集群中的子服务器;最多可以指定四个子服务器。对于子服务器,IKE 网关必须是根服务器。

    root 服务器和子服务器必须配置 dead-peer-detection always-send ,不能配置为动态(未指定)IP 地址。组成员未配置为不工作对等方检测。

在给定组的每个子服务器 上,组 VPNv2 配置必须相同。

组 VPNv2 服务器群集中的每个子服务器作为正常 GCKS 运行,用于注册和删除成员。成功注册成员后,注册服务器负责向成员发送更新。对于给定组,您可以配置每个子服务器均可接受的最大组 VPNv2 成员数;此编号在集群中的所有子服务器上必须相同。当子服务器达到配置的最大组 VPNv2 成员数时,将停止响应新成员的注册请求。请参阅 负载平衡

带服务器群集的组成员注册

组成员可在给定组的 VPNv2 服务器群集中的任何服务器中注册,但是我们建议成员仅连接到子服务器,而不是根服务器。每个组成员最多可配置四个服务器地址。在组成员上配置的服务器地址可能有所不同。在下面显示的示例中,组成员 A 配置为子服务器 1 到 4,而成员 B 配置为子服务器 4 和 3:

组成员 A:

组成员 B:

服务器地址:

子服务器 1

子服务器 2

子服务器 3

子服务器 4

子服务器 4

子服务器 3

服务器地址在成员上配置的顺序很重要。组成员尝试在首个配置的服务器中注册。如果已配置的服务器的注册不成功,则组成员尝试在下一个配置的服务器中注册。

组 VPNv2 服务器群集中的每个服务器作为正常 GCKS 运行,用于注册和删除成员。注册成功后,注册服务器负责通过 groupkey-push 交换向成员发送更新。对于给定组,您可以配置每个服务器可接受的最大组成员数,但是对于给定组,集群中的所有服务器上的此编号必须相同。到达配置的最大组成员数后,服务器将停止响应新成员的注册请求。有关更多信息,请参阅 负载平衡

不工作对等方检测

要验证组 VPNv2 服务器群集中的对等服务器的可用性,集群中的每个服务器都必须配置为向对等方发送死对等检测 (DPD) 请求,无论是否存在传出 IPsec 流量。此配置 dead-peer-detection always-send 在 [edit security group-vpn server ike gateway gateway-name] 层次结构级别的语句中。

组 VPNv2 服务器群集中的活动服务器将 DPD 探测器发送至服务器群集中配置的 IKE 网关。DPD 不应为组配置,因为多个组可以共享相同的对等服务器 IKE 网关配置。当 DPD 检测到服务器已关闭时,该服务器的 IKE SA 将被删除。所有组均将服务器标记为无效,服务器上的 DPD 将停止。

不应为组成员上的 IKE 网关配置 DPD。

当 DPD 将 root 服务器标记为无效时,子服务器将停止响应新的组成员请求,但是当前组成员的现有 SA 仍然处于活动状态。无效子服务器不会将删除发送给组成员,因为 SA 可能仍然有效,并且组成员可以继续使用现有 SA。

如果 IKE SA 在对等服务器仍然处于活动状态时过期,DPD 将触发 IKE SA 协商。由于根服务器和子服务器都可以通过 DPD 触发 IKE SA,因此同时协商可能会导致多个 IKE SA。在这种情况下,预计不会对服务器群集功能产生任何影响。

负载平衡

可以通过为组配置正确的 member-threshold 值来实现组 VPNv2 服务器群集中的负载平衡。当在服务器上注册的成员数量超过 member-threshold 值时,该服务器上的后续成员注册将被拒绝。成员注册失败到组成员上配置的下一个服务器,直至其到达尚未到达的 member-threshold 服务器。

配置有两个 member-threshold限制:

  • 对于给定组,必须在组服务器群集的根服务器和所有子服务器上配置相同的 member-threshold 值。如果组中的成员总数超过配置 member-threshold 的值,则 groupkey-pull 会拒绝由新成员发起的注册(服务器不会发送响应)。

  • 服务器可以多组支持成员。每个服务器都有最多可支持的组成员数。如果服务器达到可支持的最大成员数,则 groupkey-pull 新成员发起的注册即使未达到特定组的值也被拒绝 member-threshold

集群中的服务器之间没有成员同步。root 服务器没有有关子服务器上注册成员数量的信息。每个子服务器只能显示自己的注册成员。

了解组 VPNv2 服务器群集限制

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。在配置组 VPNv2 服务器群集时,请注意以下注意事项:

  • 服务器身份验证不支持证书认证;只能配置预共享密钥。

  • 组 VPNv2 服务器群集中的服务器之间没有配置同步。

  • 启用组 VPNv2 服务器群集时,必须先在 root 服务器上完成配置,然后在子服务器上完成配置。在服务器之间手动同步配置之前,可在配置更改期间预计信息流丢失。

  • 在某些角落情况下,VPNv2 组成员上的 SA 可能会失步。组 VPN 成员可以通过交换获取新密钥 groupkey-pull 来同步 SA。您可以使用或clear security group-vpn member group命令手动清除组 VPNv2 成员clear security group-vpn member ipsec security-associations上的 SA,以帮助加快恢复速度。

  • 组 VPNv2 服务器群集不支持 ISSU。

  • 如果在组 VPNv2 成员注册期间丢失了最后 groupkey-pull 一条消息,服务器可能会将该成员视为注册成员,即使该成员可能无法连接到服务器群集中的下一台服务器。在这种情况下,同一成员可能已在多个服务器上注册。如果所有服务器上的成员总阈值等于已部署成员的总数,则后续组成员可能无法注册。

请注意,有关根服务器上的机箱群集操作的以下注意事项:

  • 未保留任何统计信息。

  • 未保存协商数据或状态。如果 root 服务器机箱群集故障转移发生在或groupkey-push协商期间groupkey-pull,则协商不会在故障切换后重新启动。

  • 如果根服务器的两个机箱群集节点都在加密密钥的重新密钥中断开,则某些组 VPNv2 成员可能会收到新密钥,而其他成员则不会。流量可能会受到影响。使用或命令手动清除带或clear security group-vpn member group命令的组 VPNv2 成员clear security group-vpn member ipsec security-associations上的 SA 有助于在 root 服务器到达时加快恢复速度。

  • 在大规模环境中,根服务器上的 RG0 故障切换可能需要时间。如果用小值配置了子服务器上的 DPD 间隔和阈值,则可能导致子服务器在 RG0 故障转移期间将 root 服务器标记为无效。流量可能会受到影响。建议为子服务器配置大于 150 秒的 DPD interval * threshold 值的 IKE 网关。

了解组 VPNv2 服务器群集消息

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。组 VPNv2 服务器群集内服务器之间的所有消息都通过 IKE 安全关联 (SA) 进行加密和认证。每个子服务器都使用根服务器启动 IKE SA;必须先建立此 IKE SA,然后才能在服务器之间交换消息。

本节介绍在根服务器和子服务器之间交换的消息。

群集交换

图 2 显示了组 VPNv2 服务器群集和组 VPNv2 成员之间交换的基本消息。

图 2: 组 VPNv2 服务器群集消息组 VPNv2 服务器群集消息

群集-init 交换

子服务器启动与根服务器的群集初始化 (cluster-init) 交换,以获取 SA 和加密密钥信息。root 服务器通过 cluster-init 交换将当前 SA 信息发送至子服务器来响应。

然后,子服务器可通过交换响应来自组 VPNv2 成员的 groupkey-pull 注册请求。该 groupkey-pull 交换允许组 VPNv2 成员从子服务器请求组共享的 SA 和密钥。

子服务器开始 cluster-init 与根服务器交换时:

  • root 服务器被认为是非活动服务器。这是根服务器的初始假定状态。如果根服务器和子服务器之间没有 IKE SA,子服务器将使用 root 服务器启动 IKE SA。成功 cluster-init 交换后,子服务器将获取有关 SA 的信息,并将 root 服务器标记为活动服务器。

  • SA 的软生存期已过期。

  • cluster-update收到一条消息以删除所有 SA。

  • 有组配置更改。

cluster-init如果交换失败,子服务器将每 5 秒重试一次与根服务器的交换。

群集更新消息

交换 groupkey-push 是单个重新密钥消息,允许组控制器/密钥服务器 (GCKS) 在现有组 SA 到期前向成员发送组 SA 和密钥,并更新组成员资格。重新密钥消息是从 GCKS 发送给成员的未经请求的消息

为 SA 生成新加密密钥后,root 服务器会通过消息 cluster-update 向所有活动子服务器发送 SA 更新。从根服务器接收 cluster-update 后,子服务器将安装新 SA,并通过 groupkey-push 注册组成员发送新的 SA 信息。

cluster-update从根服务器发送的消息需要子服务器确认。如果未收到子服务器的确认,root 服务器会在配置的重新传输期间重新传输 cluster-update (默认为 10 秒)。如果无效对等方检测 (DPD) 指示子服务器不可用,root 服务器将不会重新传输。如果子服务器在收到 cluster-updateSA 信息后未能更新 SA 信息,则不会发送确认信息,并且 root 服务器将重新传递 cluster-update 消息。

如果 SA 的软生存期在从根服务器接收到新 SA 之前过期,则子服务器会向 root 服务器发送一 cluster-init 条消息,以获取所有 SA,并且在向其成员发送新更新之前不会向其成员发送 groupkey-push 消息。如果 SA 的硬生存期在子服务器收到新 SA 之前过期,则子服务器会标记 root 服务器无效,删除所有注册组成员,并继续向 root 服务器发送 cluster-init 消息。

cluster-update可以发送一条消息来删除 SA 或组成员;这可能是命令或配置更改的结果clear。如果子服务器收到 cluster-update 删除 SA 的消息,则向其组成员发送 groupkey-push 删除消息,并删除相应的 SA。如果一组的所有 SA 均已删除,则子服务器将启动 cluster-init 与 root 服务器的交换。如果所有注册成员均已删除,则子服务器将删除所有本地注册的成员。

了解组 VPNv2 服务器群集的配置变化

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。当出现配置更改导致新的加密密钥和安全关联 (SA) 更改时,组 VPNv2 服务器群集的行为与独立组 VPNv2 服务器不同。根服务器通过 cluster-update 消息向子服务器发送 SA 更新或删除。然后,子服务器会向成员发送 groupkey-push 消息。如果不首先从 root 服务器接收删除消息,子服务器将无法向组成员发送删除消息。

所有配置更改都必须先在根服务器上进行,然后再在子服务器上进行,以确保组成员按预期接收更新或删除。在组 VPNv2 服务器群集中的服务器之间同步配置之前,可预期流量丢失。

表 1 介绍了各种配置更改对组 VPNv2 服务器的影响。

表 1: 配置更改对组 VPNv2 服务器的影响

配置更改

独立组 VPNv2 服务器操作

组 VPNv2 服务器群集操作

根服务器

子服务器

更改 IKE 提议、策略或网关

删除受影响网关的 IKE SA。对于 IKE 提议、策略或网关删除,删除受影响网关的注册成员。

更改 IPsec 提议

信息流加密密钥 (TEK) 重新密钥之后,更改将生效。

组更改:

删除组名称

将“删除全部”发送至组成员。删除组中的所有 IKE SA。立即删除组中的所有密钥。删除组中的所有注册成员。

将“删除全部”发送至子服务器。立即删除组中的所有密钥。标记所有对等方处于非活动状态。删除子服务器 IKE SA。删除所有成员 IKE SA。

删除所有成员 IKE SA。立即删除组中的所有密钥。删除组中的所有注册成员。标记对等方处于非活动状态。删除对等服务器 IKE SA。

更改 ID

将“删除全部”发送至所有成员。删除组中的所有 IKE SA。立即删除组中的所有密钥。删除组中的所有注册成员。根据配置生成新密钥。

将“删除全部”发送至子服务器。删除组中的所有成员 IKE SA。立即删除组中的所有密钥。标记所有对等方处于非活动状态。删除所有对等服务器 IKE SA。根据配置生成新密钥。

删除组中的所有成员 IKE SA。立即删除组中的所有密钥。删除组中的所有注册成员。标记对等方处于非活动状态。删除对等服务器 IKE SA。启动新 cluster-init 交换。

添加或删除 IKE 网关

不更改添加。有关删除,请删除受影响网关的 IKE SA 和注册成员。

添加或更改反重放时间窗口

新值在 TEK 重新密钥后生效。

不添加或更改无反重放

新值在 TEK 重新密钥后生效。

服务器成员通信更改:

添加

删除所有注册成员。生成密钥加密密钥 (KEK) SA。

生成 KEK SA。将新的 KEK SA 发送至子服务器。删除所有成员 IKE SA。

删除所有注册成员。

改变

KEK 重新密钥后,新价值将生效。

删除

发送删除以删除所有 KEK SA。删除 KEK SA。

将删除发送至子服务器。删除 KEK SA。删除所有成员 IKE SA。

删除 KEK SA。

IPsec SA:

添加

生成新的 TEK SA。在成员上更新新的 TEK SA。

生成新的 TEK SA。将新的 TEK SA 发送至子服务器。

无操作。

改变

新价值在 TEK 重新密钥后生效。

如果匹配策略更改,将立即删除当前 TEK 并删除发送 groupkey-push,因为需要明确通知成员此配置已移除。

如果匹配策略更改,请将删除发送至子服务器。立即删除 TEK。

如果匹配策略更改,请立即删除 TEK。

删除

立即删除 TEK。发送删除以删除此 TEK SA。

将删除发送至子服务器。立即删除 TEK。

立即删除 TEK。

表 2 介绍了更改组 VPNv2 服务器群集配置的影响。

您必须确保服务器群集中随时只有一个根服务器。

表 2: 组 VPNv2 服务器群集配置更改的影响

服务器群集配置更改

组 VPNv2 服务器群集

根服务器

子服务器

IKE 提议、策略或网关(群集对等方)

对于添加项,没有变化。有关更改或删除,请删除受影响对等方的 IKE SA。

服务器群集:

添加

无。

将“删除全部”发送至组成员。删除组中的所有成员 IKE SA。立即删除组中的所有 TEK 和 KEK。删除组中的所有注册成员。发送 cluster-init 至 root 服务器。

更改角色

您必须确保服务器群集中随时只有一个根服务器。

将“删除全部”发送至子服务器。删除组中的所有成员 IKE SA。立即删除组中的所有 TEK 和 KEK。标记所有对等方处于非活动状态。删除所有对等服务器 IKE SA。发送 cluster-init 至 root 服务器。

重新密钥 TEK。重新键入 KEK。将新密钥发送至子服务器。向成员发送新密钥。

添加对等方

无。

删除对等方

标记对等方处于非活动状态。清除对等方 IKE SA。

标记对等方处于非活动状态。清除 KEK。清除 TEK。清除对等方 IKE SA。

更改重新传输期

无。

删除服务器群集

将“删除全部”发送至子服务器。立即删除组中的所有 TEK 和 KEK。标记所有对等方处于非活动状态。删除所有对等服务器 IKE SA。根据配置生成新的 TEK 和 KEK。

删除组中的所有成员 IKE SA。立即删除组中的所有 TEK 和 KEK。删除组中的所有注册成员。标记对等方处于非活动状态。删除对等服务器 IKE SA。根据配置生成新的 TEK 和 KEK。

将独立组 VPNv2 服务器迁移到组 VPNv2 服务器群集

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。本节介绍如何将独立组 VPNv2 服务器迁移到组 VPNv2 服务器群集。

要将独立组 VPNv2 服务器迁移到根服务器:

我们强烈建议 root 服务器为机箱群集。

  1. 将独立组 VPNv2 服务器升级到机箱群集。有关详细信息,请参阅 SRX 系列设备的机箱群集用户指南

    在将独立 SRX 系列设备升级到机箱集群节点期间,需要重新启动。预计流量会丢失。

  2. 在机箱群集上,添加组 VPNv2 服务器群集根服务器配置。集群的配置服务器角色必须为 root-server

    在配置更改期间,现有组成员之间不应出现信息流丢失。

要向组 VPNv2 服务器群集添加子服务器:

  1. 在 root 服务器上,为子服务器配置组 VPNv2 服务器 IKE 网关和服务器群集 IKE 网关。SA 和现有成员流量不应受到影响。

  2. 在子服务器上配置服务器群集。请记住,除了组 VPNv2 服务器 IKE 网关、集群中的服务器角色以及服务器群集 IKE 网关配置之外,群集中的每个服务器的组 VPNv2 配置必须相同。在子服务器上,群集中配置的服务器角色必须为 sub-server。为 root 服务器配置组 VPNv2 服务器 IKE 网关和服务器群集 IKE 网关。

要从组 VPNv2 服务器群集中删除子服务器:

  1. 在 root 服务器上,删除子服务器的组 VPNv2 服务器 IKE 网关和服务器群集 IKE 网关配置。SA 和现有成员流量不应受到影响。

  2. 关闭子服务器的电源。

示例:配置组 VPNv2 服务器群集和成员

此示例说明如何配置组 VPNv2 服务器群集,以提供组控制器/密钥服务器 (GCKS) 冗余并扩展到组 VPNv2 组成员。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。

要求

该示例使用以下硬件和软件组件:

  • 八个支持运行 Junos OS 版本 15.1X49-D30 或更高版本的 SRX 系列设备或 vSRX 实例,支持组 VPNv2:

    • 两个设备或实例配置为作为机箱集群运行。机箱群集作为组 VPNv2 服务器群集中的根服务器运行。设备或实例必须具有相同的软件版本和许可证。

      root 服务器负责向组 VPN 服务器群集中的子服务器生成和分配加密密钥;因此,我们建议根服务器成为一个机箱群集。

    • 其他四个设备或实例作为分组 VPNv2 服务器群集中的子服务器运行。

    • 另外两个设备或实例作为组 VPNv2 组成员运行。

  • 两个运行 Junos OS 版本 15.1R2 或更高版本的受支持的 MX 系列设备,支持组 VPNv2。这些设备作为组 VPNv2 组成员运行。

必须在每个 SRX 系列设备或 vSRX 实例上配置主机名、root 管理员密码和管理访问。建议在每个设备上也配置 NTP。

此示例中的配置基于 中 图 3显示的拓扑,侧重于组 VPNv2 操作所需的内容。此处不包含某些配置,例如接口、路由或机箱群集设置。例如,组 VPNv2 操作需要一个工作路由拓扑,允许客户端设备访问其在整个网络中的目标站点;此示例不涵盖静态或动态路由的配置。

概述

在此示例中,VPNv2 组网络由一个服务器群集和四个成员组成。服务器群集由一个根服务器和四个子服务器组成。其中两个成员是 SRX 系列设备或 vSRX 实例,另外两个成员是 MX 系列设备。

组 VPN SA 必须受第 1 阶段 SA 保护。因此,组 VPN 配置必须包括在根服务器、子服务器和组成员上配置 IKE 第 1 阶段协商。IKE 配置如下所述。

在 root 服务器上:

  • IKE 策略 SubSrv 用于在每个子服务器上建立第 1 阶段 SA。

  • IKE 网关为每个子服务器配置了失效对等方检测 (DPD)。

  • 服务器群集角色为 root-server ,每个子服务器配置为服务器群集的 IKE 网关。

root 服务器应配置为支持机箱群集操作。在该示例中,root 服务器上的冗余以太网接口连接到服务器群集中的每个子服务器;未显示整个机箱群集配置。

在每个子服务器上:

  • 配置了两个 IKE 策略:RootSrv 用于使用根服务器建立第 1 阶段 SA, GMs 用于与每个组成员一起建立第 1 阶段 SA。

    预共享密钥用于在根服务器和子服务器之间以及子服务器和组成员之间保护第 1 阶段 SA。确保使用的预共享密钥是强键。在子服务器上,为 IKE 策略 RootSrv 配置的前共享密钥必须与在根服务器上配置的预共享密钥匹配,为 IKE 策略 GMs 配置的前共享密钥必须与组成员上配置的预共享密钥匹配。

  • IKE 网关为 root 服务器配置了 DPD。此外,为每个组成员配置了 IKE 网关。

  • 服务器群集角色为 sub-server ,root 服务器配置为服务器群集的 IKE 网关。

在每个组成员上:

  • IKE 策略 SubSrv 用于使用子服务器建立第 1 阶段 SA。

  • IKE 网关配置包括子服务器的地址。

在 SRX 系列设备或 vSRX 组成员上,为组配置了 IPsec 策略,其中 LAN 区域为从区域(传入流量),WAN 区域配置为到区域(传出流量)。还需要一种安全策略来允许 LAN 和 WAN 区域之间的流量。

必须在组服务器和组成员上配置同一组标识符。在此示例中,组名称GROUP_ID-0001,而组标识符为 1。在服务器上配置的组策略指定,SA 和密钥应用于 172.16.0.0/12 范围内的子网之间的流量。

拓扑

图 3 显示了要为此示例配置的瞻博网络设备。

图 3: 带 SRX 系列或 vSRX 和 MX 系列成员的 VPNv2 服务器群集组带 SRX 系列或 vSRX 和 MX 系列成员的 VPNv2 服务器群集组

配置

配置根服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 root 服务器:

  1. 配置安全区域和安全策略。

  2. 配置机箱群集。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 VPN 组。

  6. 配置组策略。

结果

在配置模式下,输入 show interfacesshow chassis clustershow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置子服务器 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在组 VPNv2 服务器群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置 VPN 组。

  5. 配置组策略。

结果

在配置模式下,输入 show interfacesshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置子服务器 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在组 VPNv2 服务器群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置 VPN 组。

  5. 配置组策略。

结果

在配置模式下,输入 show interfacesshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置子服务器 3

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在组 VPNv2 服务器群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置 VPN 组。

  5. 配置组策略。

结果

在配置模式下,输入 show interfacesshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置子服务器 4

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在组 VPNv2 服务器群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置 VPN 组。

  5. 配置组策略。

结果

在配置模式下,输入 show interfacesshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置 GM-0001(SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置 IPsec 策略。

结果

在配置模式下,输入 show interfacesshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置 GM-0002(SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置 IPsec 策略。

结果

在配置模式下,输入 show interfacesshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置 GM-0003(MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置服务过滤器。

  5. 配置服务集。

结果

在配置模式下,输入 show interfacesshow securityshow servicesshow firewall 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置 GM-0004(MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口。

  2. 配置 IKE 提议、策略和网关。

  3. 配置 IPsec SA。

  4. 配置服务过滤器。

  5. 配置服务集。

结果

在配置模式下,输入 show interfacesshow securityshow servicesshow firewall 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

验证

确认配置工作正常。

验证服务器群集操作

目的

验证服务器群集中的设备是否识别组中的对等服务器。确保服务器处于活动状态,并在集群中正确分配角色。

行动

在操作模式下,在 show security group-vpn server server-clusterroot 服务器上输入 、 show security group-vpn server server-cluster detailshow security group-vpn server statistics 命令。

在操作模式下,在每个子服务器上输入 show security group-vpn server server-clustershow security group-vpn server server-cluster detailshow security group-vpn server statistics 命令。

验证 SA 是否分发给成员

目的

验证子服务器是否已收到分配给组成员的 SA,并且组成员已收到 SA。

行动

在操作模式下,输入 show security group-vpn server kek security-associations root 服务器上的 命令。show security group-vpn server kek security-associations detail

在操作模式下,在每个子服务器上输入 show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail 命令。

在操作模式下,输入 show security group-vpn member kek security-associations 各组成员的命令 show security group-vpn member kek security-associations detail

对于 SRX 或 vSRX 组成员:

对于 MX 组成员:

验证服务器上的 IKE SA

目的

在服务器上显示 IKE 安全关联 (SA)。

行动

在操作模式下,输入 show security group-vpn server ike security-associations root 服务器上的 命令。show security group-vpn server ike security-associations detail

在操作模式下,在每个子服务器上输入 show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detail 命令。

验证服务器和组成员上的 IPsec SA

目的

在服务器和组成员上显示 IPsec 安全关联 (SA)。

行动

在操作模式下,输入 show security group-vpn server ipsec security-associations root 服务器上的 命令。show security group-vpn server ipsec security-associations detail

在操作模式下,在每个子服务器上输入 show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail 命令。

在操作模式下,输入show security group-vpn member ipsec security-associations各组成员的命令show security group-vpn member ipsec security-associations detail

对于 SRX 或 vSRX 组成员:

对于 MX 组成员:

验证组成员的 IPsec 策略

目的

显示 SRX 或 vSRX 组成员上的 IPsec 策略。

此命令不适用于 MX 系列组成员。

行动

在操作模式下,在 SRX 或 vSRX 组成员上输入 show security group-vpn member policy 命令。