Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Group VPNv2

Group VPNv2 引入了可信组的概念,以消除点对点隧道及其关联的叠加路由。所有组成员都共享一个通用安全关联(SA),也称为组 SA。

Group VPNv2 概述

IPsec 安全关联(SA)是虚拟专用网络(VPN)参与者之间的单向协议,用于定义用于身份验证和加密算法、密钥交换机制和安全通信的规则。借助许多 VPN 实施,SA 是两个安全设备之间的点对点隧道(请参阅图 1)。

图 1: 点对点 SAs点对点 SAs

Group VPNv2 将 IPsec 架构扩展为支持由一组安全设备共享的 Sa (请参阅图 2)。借助 Group VPNv2,可通过在外部标头中保留原始源和目标 IP 地址来实现任何连接。组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。

图 2: 共享 Sa共享 Sa

Group VPNv2 是 SRX 系列设备早期 Junos OS 版本中引入的组 VPN 功能的增强版。瞻博网络 上的 VPNv2 组支持 RFC 6407、组解释域 (GDOI),并且可与其他符合 RFC 6407 的设备互操作。

了解组 VPNv2 的 GDOI 协议

VPNv2 组基于 RFC 6407,即解释组 (GDOI)。此 RFC 介绍了组成员与组服务器之间的协议,用于在组成员之间建立 Sa。GDOI 消息为一组设备创建、维护或删除 Sa。除了 SRX5400、SRX5600 和 SRX5800 设备之外,vSRX 实例和所有 SRX 系列设备均支持 Group VPNv2。

GDOI 协议在 UDP 端口848上运行。互联网安全关联和密钥管理协议(ISAKMP)定义了两个协商阶段,用于为 IKE IPsec 隧道建立 Sa。第 1 阶段允许两台设备为其他安全协议(例如 GDOI)建立 ISAKMP SA。

使用 VPNv2 组时,第 1 阶段 ISAKMP SA 协商在组服务器和组成员之间执行。服务器和成员必须使用相同的 ISAKMP 策略。服务器和成员之间的 GDOI 交换建立与其他组成员共享的 Sa。组成员无需与其他组成员协商 IPsec。GDOI 交换 必须受 ISAKMP 第 1 阶段 SLA 保护。

有两种类型的 GDOI 交换:

  • groupkey-pull Exchange 允许成员从服务器请求组共享的 sa 和密钥。组成员必须通过groupkey-pull交换向组服务器注册。

  • groupkey-push Exchange 是一条重新生成密钥消息,允许服务器向现有组 sa 过期之前的成员发送组 sa 和密钥。Rekey 消息是从服务器向成员发送的未经请求的消息。

了解组 VPNv2 服务器和成员

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。Group VPNv2 的中心是组控制器/密钥服务器(GCKS)。服务器群集可用于提供 GCKS 冗余。

GCKS 或 group 服务器执行以下任务:

  • 控制组成员。

  • 生成加密密钥。

  • 向成员发送新的组 Sa 和密钥。组成员根据组服务器提供的组 Sa 和密钥对信息流进行加密。

一个组服务器可以为多个组提供服务。单个安全设备可以是多个组的成员。

每个组都由一个组标识符表示,这是一个介于1和4294967295之间的数字。组服务器和组成员通过组标识符链接在一起。每个组只能有一个组标识符,而多个组不能使用相同的组标识符。

以下是组 VPNv2 服务器和成员操作的高级视图:

  1. 该组服务器侦听 UDP 端口848以注册成员。

  2. 要向组服务器注册,该成员首先会在服务器上建立 IKE SA。成员设备必须提供正确的第 IKE 1 阶段身份验证,以便加入组。支持基于每个成员的预共享密钥身份验证。

  3. 成功完成身份验证和注册后,成员设备将从具有 GDOI groupkey-pull交换的服务器中检索指定组标识符的组 sa 和密钥。

  4. 服务器会将该成员添加到该组的成员。

  5. 组成员交换使用 group SA 密钥加密的数据包。

服务器将 SA 和密钥刷新发送至使用 rekey (GDOI groupkey-push)消息对成员进行分组。服务器会在 Sa 过期之前发送重新生成密钥消息,以确保有效密钥可用于对组成员之间的流量进行加密。

由服务器发送的重新生成密钥消息需要来自每个组成员的确认(ack)消息。如果服务器未收到来自成员的 ack 消息,将在配置retransmission-period时重新传输重新生成消息(默认值为10秒)。如果配置后成员没有回复(默认设置为 2 次),则该成员 number-of-retransmission 将从服务器的注册成员中移除。服务器和成员之间的 IKE SA 也将被卸下。

当组 SA 发生更改时,服务器还会发送重新生成密钥,以便为成员提供新键。

了解组 VPNv2 限制

VPNv2 组服务器仅与支持 RFC 6407( 解释域组 (GDOI)的 VPNv2 组成员一起操作。

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。Group VPNv2 的此版本中不支持以下各项:

  • SNMP。

  • 从 Cisco GET VPN 服务器拒绝策略。

  • 用于阶段 1 IKE 身份验证的 PKI 支持。

  • 组服务器和成员的主机代管,服务器和成员功能在同一物理设备中共存。

  • 配置为机箱群集的组成员。

  • 用于配置和监控的 J Web 接口。

  • 多播数据流量。

无法保留 IP 地址的部署(例如,跨使用 IP 地址的 Internet)中不支持组 VPNv2 NAT。

了解组 VPNv2 服务器成员通信

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。服务器成员通信允许服务器向成员发送 GDOI groupkey-push (rekey)消息。如果没有为组配置服务器成员通信,则成员可以发送 GDOI groupkey-pull消息以向服务器注册和注册,但服务器无法向成员发送groupkey-push消息。

通过使用 [ edit security group-vpn server] 层次结构上的server-member-communication 配置语句为组配置服务器成员通信。可定义以下选项:

  • 用于对服务器的成员进行身份验证的身份验证算法(sha-256 或 sha-384)。没有默认算法。

  • 用于服务器与成员之间通信的加密算法。您可以指定 aes-128-cbc、aes-192-cbc 或 aes-256-cbc。没有默认算法。

  • 向组成员发送的重新加密消息的单播通信类型。

  • 密钥加密密钥(KEK)的生存期。默认值为3600秒。

  • 组服务器将消息重新传输groupkey-push至不带响应的组成员的次数(默认值为2次)和重传之间的时间段(默认值为10秒)。

如果未配置组的服务器成员通信,则该show security group-vpn server registered-members命令显示的成员资格列表将显示已向服务器注册的组成员;成员可以有效。配置组的服务器成员通信时,组成员身份列表将被清除。对于单播通信类型,该show security group-vpn server registered-members命令仅显示活动成员。

了解组 VPNv2 关键操作

本主题包含以下部分:

组键

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。该组服务器维护一个数据库,用于跟踪 VPN 组、组成员和组键之间的关系。服务器下载到成员的组键有两种:

  • 密钥加密密钥 (KEK) — 用于加密 SA 重新密钥 (GDOI) groupkey-push 交换。每组支持一个 KEK。

  • 信息流加密密钥 (TEK) — 用于对组成员之间的 IPsec 数据信息流进行加密和解密。

只有在成员上配置了匹配策略时,组成员才能接受与 SA 相关联的键。已为该组安装接受的密钥,而拒绝的密钥将被丢弃。

重新生成消息

如果将该组配置为进行服务器成员通信,则服务器会发送 SA 和密钥刷新,以使用 rekey (GDOI groupkey-push)消息对成员进行分组。在 Sa 过期之前,Rekey 的消息将被发送。这将确保有效密钥可用于加密组成员之间的流量。

当组成员关系或组 SA 发生更改时(例如,添加或删除组策略),服务器还会发送重新生成密钥以向成员提供新键。

必须在服务器上配置服务器成员通信选项,以允许服务器将 rekey 消息发送至组成员。

组服务器向每个组成员发送单播 rekey 消息的一个副本。收到重新生成密钥消息后,成员必须向服务器发送确认(ACK)。如果服务器未收到来自某个成员的 ACK (包括重新传输的重新生成消息),则服务器会将该成员视为非活动状态并将其从成员身份列表中删除。服务器停止向成员发送重新生成消息。

服务器number-of-retransmission成员retransmission-period通信的和配置语句控制当未收到成员的 ACK 时服务器对重新发送重新生成消息。

服务器发送 rekey 消息的间隔基于 [ lifetime-secondsedit security group-vpn server group group-name] 层次结构的配置语句的值。在 KEK 和 TEK 密钥到期之前生成新密钥。

lifetime-seconds用于 KEK 的的可配置为服务器成员通信的一部分;默认值为3600秒。TEK lifetime-seconds的 for The for IPsec 建议而配置;默认值为3600秒。

成员注册

如果组成员在当前密钥过期之前没有从服务器接收新 SA 密钥,则该成员必须与服务器重新注册,并通过 GDOI groupkey-pull exchange 获取更新的密钥。

组 VPNv2 配置概述

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。本主题介绍配置组 VPNv2 的主要任务。

组控制器/关键服务器(GCKS)可管理组 VPNv2 安全关联(Sa),并生成加密密钥并将其分配给组成员。您可以使用组 VPNv2 服务器群集提供 GCKS 冗余。请参阅了解组 VPNv2 服务器群集

在组服务器上,配置以下各项:

  1. IKE第 1 阶段 SA。请参阅了解组 VPNv2 的 IKE 阶段1配置
  2. IPsec SA。请参阅了解组 VPNv2 的 IPSEC SA 配置
  3. VPN 组信息,包括组标识符、组成员 IKE 网关、该组中成员的最大数量以及服务器成员通信。组配置包括定义 SA 和密钥适用的信息流的组策略。可以选择配置服务器群集和 antireplay 时间窗口。请参阅组 VPNv2 配置概述了解组 VPNv2 流量筹划

在组成员上,配置以下内容:

  1. IKE第 1 阶段 SA。请参阅了解组 VPNv2 的 IKE 阶段1配置

  2. IPsec SA。请参阅了解组 VPNv2 的 IPSEC SA 配置

  3. 此 IPsec 策略可用于定义传入区域(通常为受保护的 LAN)、传出区域(通常是 WAN)和策略应用到的 VPN 组。也可指定排除或失效开放规则。请参阅了解组 VPNv2 流量筹划

  4. 允许在 IPsec 策略指定的区域之间进行组 VPN 信息流的安全策略。

Group VPNv2 操作需要一个工作路由拓扑,使客户端设备能够在整个网络中到达其期望的站点。

该组在服务器上使用 group 配置语句在 [edit security group-vpn server] 层次结构上配置。

组信息由以下信息组成:

  • 组标识符 — 用于识别 VPN 组的值。必须在该组成员上配置相同的组标识符。

  • 每个组成员都使用ike-gateway配置语句进行配置。此配置语句可以有多个实例,该组的每个成员一个。

  • 组策略 — 要下载到成员的策略。组策略描述 SA 和密钥适用的信息流。请参阅了解组 VPNv2 流量筹划

  • 成员阈值 - 组中成员的最大数量。达到组的成员阈值后,服务器将停止响应groupkey-pull initiations 的新成员。请参阅了解组 VPNv2 服务器群集

  • 服务器成员通信 — 允许服务器向成员发送 groupkey-push 重新密钥消息的可选配置。

  • 服务器群集 — 支持组控制器/密钥服务器 (GCKS) 冗余的可选配置。请参阅了解组 VPNv2 服务器群集

  • Antireplay — 用于检测数据包拦截和重放的可选配置。请参阅了解 Group VPNv2 Antireplay

了解组 VPNv2 的 IKE 阶段1配置

组IKE与组成员之间的第 1 阶段 SA 可建立一个安全通道,以便协商由组共享的 IPsec SA。对于安全设备上瞻博网络 IPsec VPN,第 1 阶段 SA 配置包括指定IKE、策略和网关。

对于 VPNv2 组,IKE第 1 阶段 SA 配置类似于标准 IPsec VPN 的配置,但执行时在 [ ] 和 edit security group-vpn server ike [ edit security group-vpn member ike ] 层次结构上。组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。

在 IKE 提议配置中,设置身份验证方法和身份验证和加密算法,将用于在参与者之间打开安全通道。在IKE配置中,您可设置将协商第 1 阶段通道的模式,指定要使用的密钥交换类型,并引用第 1 阶段提议。在IKE配置中,引用第 1 阶段策略。

组服务器上的 IKE 建议和策略配置必须与组成员上的 IKE 建议和策略配置相匹配。在组服务器上,为每个组成员配置 IKE 网关。在组成员上,在 IKE 网关配置中最多可指定四个服务器地址。

了解组 VPNv2 的 IPsec SA 配置

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。服务器和成员在第 1 阶段协商中建立安全且经过认证的通道后,它们将继续建立由小组成员共享的 IPsec AS,以确保成员之间传输的数据安全。虽然组 VPNv2 的 IPsec SA 配置与标准 Vpn 的配置类似,但组成员无需与其他组成员协商 SA。

组 VPNv2 的 IPsec 配置由以下信息组成:

  • 在组服务器上,IPsec 建议配置为用于 SA 的安全协议、身份验证和加密算法。IPsec SA 建议在组服务器上使用proposal配置语句在 [edit security group-vpn server ipsec] 层次结构上配置。

  • 在该组成员上,配置了一个 Autokey IKE,其中引用了组标识符、组服务器(配置了ike-gateway配置语句)以及成员用于连接到组对等方所用的接口。Autokey IKE 使用vpn配置语句在成员上在 [edit security group-vpn member ipsec] 层次结构上配置。

了解组 VPNv2 流量指导委员会

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。组服务器将 IPsec 安全关联(Sa)和密钥分配给指定组的成员。属于同一组的所有成员共享相同的一组 IPsec Sa。安装在特定组成员上的 SA 由与组 SA 和组成员上配置的 IPsec 策略相关联的策略确定。

组服务器上配置的组策略

在 VPN 组中,服务器推送到某个成员的每个组 SA 和密钥都与一个组策略相关联。组策略描述应使用密钥的流量,包括协议、源地址、源端口、目标地址和目标端口。在服务器上,组策略使用 [ match-policy policy-nameedit security group-vpn server group name ipsec-sa name] 层次结构级别的选项进行配置。

对于单个组,不能存在相同的组策略(配置为具有相同源地址、目标地址、源端口、目标端口和协议值)。如果尝试提交的配置中包含组的相同组策略,则会返回错误。如果发生这种情况,必须先删除相同的组策略之一,然后才能提交配置。

在组成员上配置的 IPsec 策略

在该组成员上,IPsec 策略由以下信息组成:

  • 组信息流的from-zone传入区域()。

  • 组信息流的to-zone传出区域()。

  • IPsec 策略应用于的组的名称。只有一个组 VPNv2 名称可由特定的从区域/到区域对来引用。

组成员用于连接到组 VPNv2 的接口必须属于传出区域。此接口使用 [ group-vpn-external-interfaceedit security group-vpn member ipsec vpn vpn-name] 层次结构级别的语句指定。

在该组成员上,IPsec 策略在 [edit security ipsec-policy] 层次结构级别配置。对于为该组配置的排除和失效开放规则,会进一步检查与 IPsec 策略匹配的流量。

失效关闭

默认情况下,与排除或失效开放规则或从组服务器收到的组策略不匹配的流量将被阻止;这称为失效关闭

排除和失效开放规则

在组成员上,可为每个组配置以下类型的规则:

  • 从 VPN 加密中排除的流量。此类信息流的示例包括 BGP 或 OSPF 路由协议。要从组中排除流量,请使用set security group-vpn member ipsec vpn vpn-name exclude rule配置。最多可配置10个排除规则。

  • 对于客户操作至关重要的流量,如果团队成员未收到 IPsec SA 的有效信息流加密密钥 (TEK),则以明文方式发送(未加密)。失效开放规则允许此信息流,同时阻止所有其他流量。使用set security group-vpn member ipsec vpn vpn-name fail-open rule配置启用失效开放。最多可配置10个失效开放规则。

IPsec 策略和规则的优先级

IPsec 策略和规则在组成员上具有以下优先级:

  1. 排除定义要从 VPN 加密中排除的流量的规则。

  2. 从组服务器下载的组策略。

  3. 失效开放规则,用于定义在不存在 SA 的有效 TEK 的情况下以明文形式发送的流量。

  4. 阻止流量的失效关闭策略。如果信息流与排除或失效开放规则或组策略不匹配,则这是默认值。

了解 Group VPNv2 恢复探测过程

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。两种情况可能表示组成员与组服务器和其他组成员没有同步:

  • 组成员使用无法识别的安全参数索引(SPI)接收封装安全有效负载(ESP)数据包。

  • 存在传出 IPsec 流量,但该组成员上没有传入 IPsec 流量。

检测到任何情况时,都会在组成员上触发恢复探测进程。恢复探测进程会按特定间隔启动 GDOI 交换,从组服务器更新 groupkey-pull 成员 SA。如果存在损坏的 SPI 数据包的 DoS 攻击,或者发件人本身不同步,则该组成员上的同步性指示可能会发出假报警。为避免系统过载,将以groupkey-pull 10、20、40、80、160和320秒的间隔重试启动。

默认情况下,恢复探测进程将被禁用。要启用恢复探测进程,请在recovery-probe [edit security group-vpn member ipsec vpn vpn-name] 层次结构级别进行配置。

了解 Group VPNv2 Antireplay

除了 SRX5400、SRX5600 和 SRX5800 设备之外,vSRX 实例和所有 SRX 系列设备均支持 Group VPNv2 antireplay。Antireplay 是一项 IPsec 功能,可检测到数据包何时被攻击,并随后被攻击者重播。默认情况下,对组禁用 Antireplay。

每个 IPsec 数据包都包含一个时间戳。该组成员检查数据包的时间戳是否属于配置的 anti-replay-time-window 值 。如果时间戳超过该值,则丢弃数据包。

建议在支持 Group VPNv2 antireplay 的所有设备上配置 NTP。

在运行虚拟机管理程序的主机上的 vSRX 实例上运行的组成员可能会遇到可通过重新配置anti-replay-time-window该值来纠正的问题。如果未传输与组成员上的 IPsec 策略匹配的数据,请检查show security group-vpn member ipsec statistics输出中是否存在 D3P 错误。请确保 NTP 正在正常运行。如果出现错误,请调整anti-replay-time-window该值。

示例:配置组 VPNv2 服务器和成员

此示例演示如何将 Group VPNv2 server 配置为向组 VPNv2 组成员提供组控制器/密钥服务器(GCKS)支持。组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。

要求

该示例使用以下硬件和软件组件:

  • 支持 Group VPNv2 且运行 Junos OS Release 15.1 X 49-D30 或更高版本的 SRX 系列网络设备或 vSRX 实例。此 SRX 系列设备或 vSRX 实例作为组 VPNv2 服务器运行。

  • 支持 Group VPNv2 的两个受支持 SRX 系列设备或 vSRX 实例 Junos OS Release 15.1 X 49-D30 或更高版本。这些设备或实例作为组 VPNv2 组成员运行。

  • 运行 Junos OS Release 15.1 r r 2 或更高版本(支持 Group VPNv2)的两个受支持的 MX 系列设备。这些设备作为组 VPNv2 组成员运行。

必须在每个设备上配置主机名、根管理员密码和管理访问。建议同时在每个设备上配置 NTP。

Group VPNv2 操作需要一个工作路由拓扑,使客户端设备能够在整个网络中到达其期望的站点。此示例重点介绍 Group VPNv2 配置;未介绍路由配置。

概述

在此示例中,Group VPNv2 网络由一个服务器和四个成员组成。两个成员是 SRX 系列设备或 vSRX 实例,而另两个成员是 MX 系列设备。共享组 VPN Sa 组成员之间的安全流量。

组 VPN Sa 必须受相位 1 SA 保护。因此,组 VPN 配置必须包括配置组服务器和组成员上 IKE 阶段1协商。

必须同时在组服务器和组成员上配置相同的组标识符。在此示例中,组名称为 GROUP_ID-0001,组标识符为1。在服务器上配置的组策略指定 SA 和密钥应用于 172.16.0.0/12 范围子网之间的流量。

在 SRX 或 vSRX 组成员上,IPsec 策略配置为其 LAN 区域为源区域(传入信息流)的组,而 WAN 区域作为到区域(传出信息流)。还需要一种安全策略,以允许 LAN 和 WAN 区域之间的流量。

拓扑

图 3显示了要为此示例配置的瞻博网络设备。

图 3: 使用 SRX 或 vSRX 和 MX 系列成员的 Group VPNv2 Server使用 SRX 或 vSRX 和 MX 系列成员的 Group VPNv2 Server

配置

配置组服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置组 VPNv2 服务器:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 建议、策略和网关。

  4. 配置 IPsec 建议。

  5. 配置组。

  6. 配置服务器到成员的通信。

  7. 配置要下载到组成员的组策略。

成果

从配置模式,输入show interfacesshow routing-optionsshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置组成员 GM-0001 (SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 建议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 IPsec 策略。

成果

从配置模式,输入show interfacesshow routing-optionsshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置组成员 GM-0002 (SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 建议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 IPsec 策略。

成果

从配置模式,输入show interfacesshow routing-optionsshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置组成员 GM-0003 (MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要配置组 VPNv2 成员:

  1. 配置接口。

  2. 配置路由。

  3. 配置 IKE 建议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置服务过滤器。

  6. 配置服务集。

成果

show interfaces配置模式,输入、 show routing-optionsshow securityshow services、、和show firewall命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

配置组成员 GM-0004 (MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要配置组 VPNv2 成员:

  1. 配置接口。

  2. 配置路由。

  3. 配置 IKE 建议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置服务过滤器。

  6. 配置服务集。

成果

show interfaces配置模式,输入、 show routing-optionsshow securityshow services、、和show firewall命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

针对

确认配置是否正常工作。

验证组成员注册

用途

验证组成员是否在服务器上注册。

行动

在操作模式中,输入show security group-vpn server registered-members服务器show security group-vpn server registered-members detail上的和命令。

验证组键是否分配

用途

验证组键是否分配到成员。

行动

从操作模式中输入组show security group-vpn server statistics 服务器上的命令。

验证组服务器上的组 VPN Sa

用途

验证组服务器上的组 VPN Sa。

行动

在操作模式下,输入show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail服务器上的和命令。

验证组成员上的组 VPN Sa

用途

验证组成员上的组 VPN Sa。

行动

在操作模式下,输入show security group-vpn member kek security-associations SRX show security group-vpn member kek security-associations detail或 vSRX 组成员上的和命令。

在操作模式下,输入show security group-vpn member kek security-associations MX show security group-vpn member kek security-associations detail系列组成员的和命令。

验证组服务器上的 IPsec Sa

用途

验证组服务器上的 IPsec Sa。

行动

在操作模式下,输入show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail服务器上的和命令。

验证组成员上的 IPsec Sa

用途

验证组成员上的 IPsec Sa。

行动

在操作模式下,输入show security group-vpn member ipsec security-associations SRX show security group-vpn member ipsec security-associations detail或 vSRX 组成员上的和命令。

在操作模式下,输入show security group-vpn member ipsec security-associations MX show security group-vpn member ipsec security-associations detail系列组成员的和命令。

验证组策略(仅 SRX 或 vSRX 组成员)

用途

验证 SRX 或 vSRX 组成员上的组策略。

行动

在操作模式中,输入show security group-vpn member policy组成员上的命令。

示例:配置组 VPNv2 单播 Rekey 消息的服务器成员通信

此示例演示如何使服务器能够向组成员发送单播 rekey 消息,以确保有效密钥可用于对组成员之间的流量进行加密。组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。

要求

开始之前:

  • 配置组服务器和成员,以 IKE 阶段1协商。

  • 配置 IPsec SA 的组服务器和成员。

  • 在组服务器g1上配置该组。

概述

在此示例中,您为组g1指定以下服务器成员通信参数:

  • 服务器向组成员发送单播 rekey 消息。

  • aes-128-cbc 用于对服务器和成员之间的流量进行加密。

  • sha-256 用于成员身份验证。

默认值用于 KEK 生存期和重发。

配置

操作

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置服务器成员通信:

  1. 设置通信类型。

  2. 设置加密算法。

  3. 设置成员身份验证。

针对

要验证配置是否正常运行,请输入show security group-vpn server group g1 server-member-communication命令。