Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

组 VPNv2

组 VPNv2 引入了可信组的概念,以消除点对点隧道及其关联的叠加路由。所有组成员共享一个公共安全关联 (SA),也称为组 SA。

组 VPNv2 概述

IPsec 安全关联 (SA) 是虚拟专用网 (VPN) 参与者之间的单向协议,用于定义用于身份验证和加密算法、密钥交换机制和安全通信的规则。在许多 VPN 实施中,SA 是两个安全设备之间的点对点隧道(请参阅 图 1)。

图 1: 点对点 SA点对点 SA

组 VPNv2 扩展了 IPsec 体系结构以支持由一组安全设备共享的 SA(请参阅 图 2)。使用组 VPNv2,可以通过在外部标头中保留原始源和目标 IP 地址来实现任意到任意连接。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。

图 2: 共享 SA共享 SA

组 VPNv2 是在适用于 SRX 系列防火墙的早期 Junos OS 版本中引入的组 VPN 功能的增强版本。瞻博网络设备上的组 VPNv2 支持 RFC 6407( 组解释域 (GDOI),并可与符合 RFC 6407 的其他设备互操作。

了解 VPNv2 组的 GDOI 协议

组 VPNv2 基于 RFC 6407, 即组解释域 (GDOI)。此 RFC 描述了组成员和组服务器之间用于在组成员之间建立 SA 的协议。GDOI 消息为一组设备创建、维护或删除 SA。vSRX 虚拟防火墙实例和所有 SRX 系列防火墙(SRX5400、SRX5600 和 SRX5800 设备除外)支持 VPNv2 组。

GDOI 协议在 UDP 端口 848 上运行。互联网安全关联和密钥管理协议 (ISAKMP) 定义了两个协商阶段,用于为 IKE IPsec 隧道建立 SA。阶段 1 允许两台设备为其他安全协议(如 GDOI)建立 ISAKMP SA 。

使用组 VPNv2,将在组服务器和组成员之间执行第 1 阶段 ISAKMP SA 协商。服务器和成员必须使用相同的 ISAKMP 策略。服务器和成员之间的 GDOI 交换建立与其他组成员共享的 SA。组成员不需要与其他组成员协商 IPsec。GDOI 交换 必须受 ISAKMP 第 1 阶段 SA 的保护。

有两种类型的 GDOI 交换:

  • 交换 groupkey-pull 允许成员从服务器请求组共享的 SA 和密钥。组成员必须通过交换向 groupkey-pull 组服务器注册。

  • groupkey-push交换是一条重新生成密钥的消息,允许服务器在现有组 SA 过期之前向成员发送组 SA 和密钥。重新生成密钥消息是从服务器发送到成员的未经请求的消息。

了解组 VPNv2 服务器和成员

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。VPNv2 组的中心是组控制器/密钥服务器 (GCKS)。服务器集群可用于提供 GCKS 冗余。

GCKS 或组服务器执行以下任务:

  • 控制组成员身份。

  • 生成加密密钥。

  • 向成员发送新的组 SA 和密钥。组成员根据组服务器提供的组 SA 和密钥加密流量。

一个组服务器可以为多个组提供服务。单个安全设备可以是多个组的成员。

每个组都由一个组标识符表示,该标识符是介于 1 和 4,294,967,295 之间的数字。组服务器和组成员通过组标识符链接在一起。每个组只能有一个组标识符,多个组不能使用相同的组标识符。

以下是组 VPNv2 服务器和成员操作的高级视图:

  1. 组服务器侦听 UDP 端口 848 以供成员注册。

  2. 若要向组服务器注册,成员首先向服务器建立 IKE SA。成员设备必须提供正确的 IKE 第 1 阶段身份验证才能加入组。支持基于每个成员的预共享密钥身份验证。

  3. 成功进行身份验证和注册后,成员设备通过 GDOI groupkey-pull 交换从服务器检索指定组标识符的组 SA 和密钥。

  4. 服务器将成员添加到组的成员资格中。

  5. 组成员交换使用组 SA 密钥加密的数据包。

服务器使用重新生成密钥 (GDOI groupkey-push) 消息向组成员发送 SA 和密钥刷新。服务器在 SA 过期之前发送重新生成密钥消息,以确保有效的密钥可用于加密组成员之间的流量。

服务器发送的重新生成密钥消息需要来自每个组成员的确认 (ack) 消息。如果服务器未收到来自成员的确认消息,则会以配置 retransmission-period 的方式重新传输重新生成密钥消息(默认值为 10 秒)。如果配置 number-of-retransmission 后成员没有回复(默认值为 2 次),则该成员将从服务器的注册成员中删除。服务器和成员之间的 IKE SA 也将被删除。

当组 SA 发生更改时,服务器还会发送重新生成密钥消息,以便向成员提供新密钥。

了解组 VPNv2 限制

组 VPNv2 服务器仅与支持 RFC 6407( 组解释域 (GDOI))的组 VPNv2 成员一起运行。

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。此版本的组 VPNv2 不支持以下内容:

  • SNMP。

  • 来自思科 GET VPN 服务器的拒绝策略。

  • 对第 1 阶段 IKE 身份验证的 PKI 支持。

  • 组服务器和成员的共置,其中服务器和成员功能在同一物理设备中共存。

  • 配置为机箱群集的组成员。

  • 用于配置和监控的 J-Web 界面。

  • 组播数据流量。

在无法保留 IP 地址的部署中(例如,在使用 NAT 的互联网上),不支持组 VPNv2。

了解组 VPNv2 服务器成员通信

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。服务器成员通信允许服务器向成员发送 GDOI groupkey-push (密钥)消息。如果未为组配置服务器成员通信,则成员可以发送 GDOI groupkey-pull 消息以注册并向服务器重新注册,但服务器无法向成员发送 groupkey-push 消息。

服务器成员通信是使用 [edit security group-vpn server] 层次结构中的server-member-communication 配置语句为组配置的。可以定义以下选项:

  • 用于向服务器验证成员的身份验证算法(sha-256 或 sha-384)。没有默认算法。

  • 用于服务器和成员之间通信的加密算法。您可以指定 aes-128-cbc、aes-192-cbc 或 aes-256-cbc。没有默认算法。

  • 发送给组成员的重新生成密钥消息的单播通信类型。

  • 密钥加密密钥 (KEK) 的生存期。默认设置为 3600 秒。

  • 组服务器在没有响应的情况下向组成员重新传输 groupkey-push 邮件的次数(默认值为 2 次)和重新传输之间的时间段(默认值为 10 秒)。

如果未配置组的服务器成员通信,则命令显示 show security group-vpn server registered-members 的成员资格列表将显示已在服务器中注册的组成员;成员可以是活动的,也可以不是活动成员。配置组的服务器成员通信时,将清除组成员身份列表。对于单播通信类型,该 show security group-vpn server registered-members 命令仅显示活动成员。

了解组 VPNv2 关键操作

本主题包含以下部分:

组键

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。组服务器维护一个数据库来跟踪 VPN 组、组成员和组密钥之间的关系。服务器可以将两种类型的组键下载给成员:

  • 密钥加密密钥 (KEK) — 用于加密 SA 重新密钥 (GDOI groupkey-push) 交换。每个组支持一个 KEK。

  • 流量加密密钥 (TEK) — 用于加密和解密组成员之间的 IPsec 数据流量。

仅当成员上配置了匹配 策略时,组成员才会接受与 SA 关联的密钥。将为组安装接受的密钥,而丢弃拒绝的密钥。

重新键入消息

如果组配置为服务器成员通信,则服务器将使用重新生成密钥 (GDOI groupkey-push) 消息向组成员发送 SA 和密钥刷新。在 SA 过期之前发送重新密钥消息;这可确保有效密钥可用于加密组成员之间的流量。

当组成员身份发生更改或组 SA 发生更改(例如,添加或删除组策略)时,服务器还会发送密钥消息,以便向成员提供新密钥。

必须在服务器上配置服务器成员通信选项,以允许服务器向组成员发送重新生成密钥消息。

组服务器向每个组成员发送单播密钥消息的一个副本。收到重新生成密钥消息后,成员必须向服务器发送确认 (ACK)。如果服务器未收到来自成员的 ACK(包括重新传输重新生成密钥消息),则服务器会将该成员视为非活动状态,并将其从成员列表中删除。服务器停止向成员发送重新生成密钥消息。

number-of-retransmission服务器-成员通信的 和retransmission-period配置语句控制在未从成员收到 ACK 时服务器重新发送密钥消息。

服务器发送密钥消息的时间间隔基于 [edit security group-vpn server group group-name] 层次结构中的配置语句值lifetime-seconds。新密钥在 KEK 和 TEK 密钥到期之前生成。

对于 KEK 配置为 lifetime-seconds 服务器成员通信的一部分;默认值为 3600 秒。TEK 的配置 lifetime-seconds 是针对 IPsec 提议的;默认值为 3600 秒。

会员注册

如果组成员在当前密钥过期之前未从服务器收到新的 SA 密钥,则该成员必须向服务器重新注册并通过 GDOI groupkey-pull 交换获取更新的密钥。

组 VPNv2 配置概述

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。本文介绍配置组VPNv2的主要任务。

组控制器/密钥服务器 (GCKS) 管理组 VPNv2 安全关联 (SA),并生成加密密钥并将其分发给组成员。您可以使用组 VPNv2 服务器群集来提供 GCKS 冗余。请参阅 了解组 VPNv2 服务器群集

在组服务器上,配置以下内容:

  1. IKE 第 1 阶段 SA。请参阅 了解组 VPNv2 的 IKE 第 1 阶段配置
  2. IPsec SA。请参阅 了解组 VPNv2 的 IPsec SA 配置
  3. VPN 组信息,包括组标识符、组成员的 IKE 网关、组中的最大成员数以及服务器成员通信。组配置包括一个组策略,用于定义应用 SA 和密钥的流量。可以选择配置服务器群集和反重放时间窗口。请参阅 组 VPNv2 配置概述了解组 VPNv2 流量引导

在组成员上,配置以下内容:

  1. IKE 第 1 阶段 SA。请参阅 了解组 VPNv2 的 IKE 第 1 阶段配置

  2. IPsec SA。请参阅 了解组 VPNv2 的 IPsec SA 配置

  3. IPsec 策略,用于定义传入区域(通常是受保护的 LAN)、传出区域(通常为 WAN)和应用策略的 VPN 组。还可以指定排除或失效开放规则。请参阅 了解组 VPNv2 流量引导

  4. 安全策略,允许在 IPsec 策略中指定的区域之间进行组 VPN 流量。

组 VPNv2 操作需要有效的路由拓扑,以允许客户端设备通过网络到达其预期站点。

该组在服务器上使用 [edit security group-vpn server] 层次结构中的group 配置语句进行配置。

组信息由以下信息组成:

  • 组标识符 - 标识 VPN 组的值。必须在组成员上配置相同的组标识符。

  • 每个组成员都配置了 ike-gateway 配置语句。此配置语句可以有多个实例,组的每个成员一个实例。

  • 组策略 - 要下载给成员的策略。组策略描述应用 SA 和密钥的流量。请参阅 了解组 VPNv2 流量引导

  • 成员阈值 - 组中的最大成员数。达到组的成员阈值后,服务器将停止响应 groupkey-pull 来自新成员的启动。请参阅 了解组 VPNv2 服务器群集

  • 服务器成员通信 - 允许服务器向成员发送 groupkey-push 重新密钥消息的可选配置。

  • 服务器群集 - 支持组控制器/密钥服务器 (GCKS) 冗余的可选配置。请参阅 了解组 VPNv2 服务器群集

  • 防重放 — 检测数据包拦截和重放的可选配置。请参阅 了解组 VPNv2 防重放

了解 VPNv2 组的 IKE 第 1 阶段配置

组服务器和组成员之间的 IKE 第 1 阶段 SA 建立一个安全通道,用于协商组共享的 IPsec SA。对于瞻博网络安全设备上的标准 IPsec VPN,第 1 阶段 SA 配置包括指定 IKE 提议、策略和网关。

对于组 VPNv2,IKE 第 1 阶段 SA 配置类似于标准 IPsec VPN 的配置,但在 [edit security group-vpn server ike] 和 [edit security group-vpn member ike] 层次结构中执行。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。

在 IKE 提议配置中,您可以设置身份验证方法以及将用于在参与者之间打开安全通道的身份验证和加密算法。在 IKE 策略配置中,您可以设置协商第 1 阶段通道的模式,指定要使用的密钥交换类型,并引用第 1 阶段提议。在 IKE 网关配置中,引用第 1 阶段策略。

组服务器上的 IKE 提议和策略配置必须与组成员上的 IKE 提议和策略配置匹配。在组服务器上,为每个组成员配置 IKE 网关。在组成员上,IKE 网关配置中最多可以指定四个服务器地址。

了解 VPNv2 组的 IPsec SA 配置

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。服务器和成员在第 1 阶段协商中建立安全且经过身份验证的通道后,它们将继续建立由组成员共享的 IPsec SA,以保护在成员之间传输的数据。虽然组 VPNv2 的 IPsec SA 配置与标准 VPN 的配置类似,但组成员不需要与其他组成员协商 SA。

VPNv2 组的 IPsec 配置包含以下信息:

  • 在组服务器上,为要用于 SA 的安全协议、身份验证和加密算法配置 IPsec 建议。IPsec SA 提议在组服务器上 proposal 配置,配置语句位于 [edit security group-vpn server ipsec] 层次结构中。

  • 在组成员上,配置了一个 Autokey IKE,该 IKE 引用组标识符、组服务器(使用配置语句配置 ike-gateway )以及成员用于连接到组对等方的接口。在成员 vpn 上配置 Autokey IKE,配置语句位于 [edit security group-vpn member ipsec] 层次结构中。

了解组 VPNv2 流量控制

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。组服务器将 IPsec 安全关联 (SA) 和密钥分发给指定组的成员。属于同一组的所有成员共享同一组 IPsec SA。安装在特定组成员上的 SA 由与组 SA 关联的策略以及在组成员上配置的 IPsec 策略确定。

在组服务器上配置的组策略

在 VPN 组中,服务器推送到成员的每个组 SA 和密钥都与组策略相关联。组策略描述应使用密钥的流量,包括协议、源地址、源端口、目标地址和目标端口。在服务器上,组策略配置了 match-policy policy-name [edit security group-vpn server group name ipsec-sa name] 层次结构级别的选项。

单个组不能存在相同(配置了相同源地址、目标地址、源端口、目标端口和协议值)的组策略。如果尝试提交包含组相同组策略的配置,则会返回错误。如果发生这种情况,必须先删除其中一个相同的组策略,然后才能提交配置。

在组成员上配置的 IPsec 策略

在组成员上,IPsec 策略包含以下信息:

  • 组流量的传入区域 (from-zone)。

  • 组流量的传出区域 (to-zone)。

  • 应用 IPsec 策略的组的名称。特定的从区域/到区域对只能引用一个组 VPNv2 名称。

组成员用于连接到组 VPNv2 的接口必须属于传出区域。此接口使用 [edit security group-vpn member ipsec vpn vpn-name] 层次结构级别的语句指定group-vpn-external-interface

在组成员上,IPsec 策略是在 [edit security ipsec-policy] 层次结构级别配置的。将根据为组配置的排除和失效开放规则进一步检查与 IPsec 策略匹配的流量。

失效关闭

默认情况下,与从组服务器接收的排除或失效开放规则或组策略不匹配的流量将被阻止;这称为 故障关闭

排除和失效开放规则

在组成员上,可以为每个组配置以下类型的规则:

  • 从 VPN 加密中排除的流量。此类流量的示例包括 BGP 或 OSPF 路由协议。要从组中排除流量,请使用配置 set security group-vpn member ipsec vpn vpn-name exclude rule 。最多可以配置 10 个排除规则。

  • 对客户操作至关重要的流量,如果组成员未收到 IPsec SA 的有效流量加密密钥 (TEK),则必须以明文(未加密)发送。失效开放规则允许此流量流动,同时阻止所有其他流量。使用 set security group-vpn member ipsec vpn vpn-name fail-open rule 配置启用失效开放。最多可以配置 10 个失效开放规则。

IPsec 策略和规则的优先级

IPsec 策略和规则对组成员具有以下优先级:

  1. 排除定义要从 VPN 加密中排除的流量的规则。

  2. 从组服务器下载的组策略。

  3. 失效开放规则,用于定义在 SA 没有有效 TEK 时以明文形式发送的流量。

  4. 阻止流量的故障关闭策略。如果流量与排除或失效开放规则或组策略不匹配,则这是默认值。

了解组 VPNv2 恢复探测过程

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。有两种情况可能表示组成员与组服务器和其他组成员不同步:

  • 组成员接收封装安全有效负载 (ESP) 数据包,其中包含无法识别的安全参数索引 (SPI)。

  • 组成员上有传出 IPsec 流量,但没有传入 IPsec 流量。

检测到任一情况时,可以在组成员上触发恢复探测过程。恢复探测过程按特定时间间隔启动 GDOI groupkey-pull 交换,以从组服务器更新成员的 SA。如果存在对不良 SPI 数据包的 DoS 攻击,或者发送方本身不同步,则组成员上的不同步指示可能是误报。为避免系统过载, groupkey-pull 每隔 10、20、40、80、160 和 320 秒重试一次启动。

默认情况下,恢复探测过程处于禁用状态。若要启用恢复探测过程,请在 [edit security group-vpn member ipsec vpn vpn-name] 层次结构级别进行配置recovery-probe

了解组 VPNv2 防重放

vSRX 虚拟防火墙实例和所有 SRX 系列防火墙(SRX5400、SRX5600 和 SRX5800 设备除外)支持 VPNv2 组防重放。防重放是一项 IPsec 功能,可以检测数据包何时被攻击者拦截然后重放。默认情况下,组的反重播处于禁用状态。

每个 IPsec 数据包都包含一个时间戳。组成员检查数据包的时间戳是否在配置 anti-replay-time-window 的值范围内。如果时间戳超过该值,则会丢弃数据包。

我们建议在支持组 VPNv2 防重放的所有设备上配置 NTP。

在虚拟机管理程序在重负载下运行的主机上的 vSRX 虚拟防火墙实例上运行的组成员可能会遇到问题,这些问题可以通过重新配置 anti-replay-time-window 值来纠正。如果未传输与组成员上的 IPsec 策略匹配的数据, show security group-vpn member ipsec statistics 请检查输出是否存在 D3P 错误。确保 NTP 正常运行。如果出现错误,请调整该 anti-replay-time-window 值。

示例:配置组 VPNv2 服务器和成员

此示例说明如何配置组 VPNv2 服务器以向组 VPNv2 组成员提供组控制器/密钥服务器 (GCKS) 支持。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。

要求

该示例使用以下硬件和软件组件:

  • 运行 Junos OS 版本 15.1X49-D30 或更高版本且支持组 VPNv2 的受支持的 SRX 系列防火墙或 vSRX 虚拟防火墙实例。此 SRX 系列防火墙或 vSRX 虚拟防火墙实例作为组 VPNv2 服务器运行。

  • 两个受支持的 SRX 系列防火墙或运行 Junos OS 版本 15.1X49-D30 或更高版本且支持组 VPNv2 的 vSRX 虚拟防火墙实例。这些设备或实例作为组 VPNv2 组成员运行。

  • 两台受支持的 MX 系列设备,运行 Junos OS 15.1R2 或更高版本,并支持 VPNv2 组。这些设备作为组 VPNv2 组成员运行。

必须在每台设备上配置主机名、root 管理员密码和管理访问权限。我们建议在每个设备上也配置 NTP。

组 VPNv2 操作需要有效的路由拓扑,以允许客户端设备通过网络到达其预期站点。此示例重点介绍组 VPNv2 配置;未描述路由配置。

概述

在此示例中,组 VPNv2 网络由一个服务器和四个成员组成。其中两个成员是 SRX 系列防火墙或 vSRX 虚拟防火墙实例,另外两个成员是 MX 系列设备。共享组 VPN SA 可保护组成员之间的流量。

组 VPN SA 必须受第 1 阶段 SA 的保护。因此,组 VPN 配置必须包括在组服务器和组成员上配置 IKE 第 1 阶段协商。

必须在组服务器和组成员上配置相同的组标识符。在此示例中,组名称为 GROUP_ID-0001,组标识符为 1。服务器上配置的组策略指定将 SA 和密钥应用于 172.16.0.0/12 范围内子网之间的流量。

在 SRX 系列防火墙或 vSRX 虚拟防火墙组成员上,将为将 LAN 区域作为起始区域(传入流量)并将 WAN 区域作为目标区域(传出流量)的组配置 IPsec 策略。还需要安全策略来允许 LAN 和 WAN 区域之间的流量。

拓扑学

图 3 显示了要为此示例配置的瞻博网络设备。

图 3: 将 VPNv2 服务器与 SRX 系列防火墙或 vSRX 虚拟防火墙和 MX 系列成员分组将 VPNv2 服务器与 SRX 系列防火墙或 vSRX 虚拟防火墙和 MX 系列成员分组

配置

配置组服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 服务器,请执行以下操作:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec 提议。

  5. 配置组。

  6. 配置服务器到成员的通信。

  7. 配置要下载给组成员的组策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置组成员 GM-0001(SRX 系列防火墙或 vSRX 虚拟防火墙实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员,请执行以下操作:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 IPsec 策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置组成员 GM-0002(SRX 系列防火墙或 vSRX 虚拟防火墙实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员,请执行以下操作:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 IPsec 策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置组成员 GM-0003(MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

要配置组 VPNv2 成员,请执行以下操作:

  1. 配置接口。

  2. 配置路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置服务筛选器。

  6. 配置服务集。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow servicesshow securityshow firewall命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

配置组成员 GM-0004(MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

要配置组 VPNv2 成员,请执行以下操作:

  1. 配置接口。

  2. 配置路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置服务筛选器。

  6. 配置服务集。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow servicesshow securityshow firewall命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

验证

确认配置工作正常。

验证组成员注册

目的

验证组成员是否已在服务器上注册。

操作

在操作模式下,在服务器上输入 show security group-vpn server registered-membersshow security group-vpn server registered-members detail 命令。

验证组键是否已分发

目的

验证组键是否已分发给成员。

操作

在操作模式下,在组服务器上输入 show security group-vpn server statistics 命令。

验证组服务器上的组 VPN SA

目的

验证组服务器上的组 VPN SA。

操作

在操作模式下,在组服务器上输入 show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail 命令。

验证组成员上的组 VPN SA

目的

验证组成员上的组 VPN SA。

操作

在操作模式下,在 SRX 系列防火墙或 vSRX 虚拟防火墙组成员上输入 show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail 命令。

在操作模式下,在 MX 系列组成员上输入 show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail 命令。

验证组服务器上的 IPsec SA

目的

验证组服务器上的 IPsec SA。

操作

在操作模式下,在组服务器上输入 show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail 命令。

验证组成员上的 IPsec SA

目的

验证组成员上的 IPsec SA。

操作

在操作模式下,在 SRX 系列防火墙或 vSRX 虚拟防火墙组成员上输入 show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail 命令。

在操作模式下,在 MX 系列组成员上输入 show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail 命令。

验证组策略(仅限 SRX 系列防火墙或 vSRX 虚拟防火墙组成员)

目的

验证 SRX 系列防火墙或 vSRX 虚拟防火墙组成员上的组策略。

操作

在操作模式下,在组成员上输入 show security group-vpn member policy 命令。

示例:为单播密钥消息配置组 VPNv2 服务器成员通信

此示例说明如何使服务器能够向组成员发送单播重新生成密钥消息,以确保有效密钥可用于加密组成员之间的流量。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200和 SRX4600 设备和 vSRX 虚拟防火墙实例支持 VPNv2 组。

要求

准备工作:

  • 配置 IKE 第 1 阶段协商的组服务器和成员。

  • 为 IPsec SA 配置组服务器和成员。

  • 在组服务器上配置组 g1

概述

在此示例中,您将为组 g1指定以下服务器成员通信参数:

  • 服务器向组成员发送单播密钥消息。

  • AES-128-CBC 用于加密服务器和成员之间的流量。

  • SHA-256 用于成员身份验证。

默认值用于 KEK 生存期和重新传输。

配置

程序

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置服务器成员通信,请执行以下操作:

  1. 设置通信类型。

  2. 设置加密算法。

  3. 设置成员身份验证。

验证

要验证配置是否正常工作,请输入 show security group-vpn server group g1 server-member-communication 命令。