Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

组 VPNv2

组 VPNv2 引入了可信组的概念,以消除点对点隧道及其关联的叠加路由。所有组成员共享一个通用安全关联 (SA),也称为组 SA。

组 VPNv2 概述

IPsec 安全关联 (SA) 是虚拟专用网络 (VPN) 参与方之间的单向协议,定义了用于身份验证和加密算法、密钥交换机制和安全通信的规则。通过许多 VPN 实施,SA 是两个安全设备之间的点对点隧道(请参阅 图 1)。

图 1: 点对点 SA点对点 SA

组 VPNv2 扩展了 IPsec 架构,以支持由一组安全设备共享的 SA(请参阅 图 2)。借助组 VPNv2,可在外部标头中保留原始源和目标 IP 地址,从而实现任意到任意连接。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。

图 2: 共享 SA共享 SA

组 VPNv2 是早期面向 SRX 系列设备的 Junos OS 版本中引入的组 VPN 功能的增强版本。瞻博网络设备上的 VPNv2 组支持 RFC 6407、 解释组域 (GDOI),并可与符合 RFC 6407 要求的其他设备互操作。

了解组 VPNv2 的 GDOI 协议

组 VPNv2 基于 RFC 6407 ,即解释组域 (GDOI)。本 RFC 介绍组成员和组服务器之间在组成员之间建立 SA 的协议。GDOI 消息为一组设备创建、维护或删除 SA。vSRX 实例和所有 SRX 系列设备(SRX5400、SRX5600 和 SRX5800 设备除外)支持 VPNv2 组。

GDOI 协议在 UDP 端口 848 上运行。互联网安全协会和密钥管理协议 (ISAKMP) 定义了两个协商阶段,以便为 IKE IPsec 隧道建立 SA。第 1 阶段允许两台设备为 GDOI 等其他安全协议建立 ISAKMP SA 。

通过组 VPNv2,可在组服务器和组成员之间执行第 1 阶段 ISAKMP SA 协商。服务器和成员必须使用相同的 ISAKMP 策略。服务器和成员之间的 GDOI 交换可建立与其他组成员共享的 SA。组成员无需与其他组成员协商 IPsec。GDOI 交换 必须受 ISAKMP 第 1 阶段 SA 保护。

GDOI 交换有两种类型:

  • groupkey-pull 交换允许成员从服务器请求组共享的 SA 和密钥。组成员必须通过 groupkey-pull 交换向组服务器注册。

  • 交换 groupkey-push 是一条重新密钥消息,允许服务器在现有组 SA 到期前向成员发送组 SA 和密钥。重新密钥消息是从服务器发送给成员的未经请求的消息。

了解组 VPNv2 服务器和成员

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。组 VPNv2 的中心是组控制器/密钥服务器 (GCKS)。服务器群集可用于提供 GCKS 冗余。

GCKS 或组服务器执行以下任务:

  • 控制组成员资格。

  • 生成加密密钥。

  • 向成员发送新的组 SA 和密钥。组成员根据组 SA 和组服务器提供的密钥对信息流进行加密。

组服务器可以为多个组提供服务。单个安全设备可以是多个组的成员。

每个组由一个组标识符表示,该标识符的数字在 1 到 4,294,967,295 之间。组服务器和组成员通过组标识符链接在一起。每个组只能有一个组标识符,多个组不能使用同一组标识符。

以下是组 VPNv2 服务器和成员操作的高级视图:

  1. 组服务器在 UDP 端口 848 上侦听成员注册。

  2. 要在组服务器上注册,该成员首先在服务器中建立了 IKE SA。成员设备必须提供正确的 IKE 第 1 阶段身份验证才能加入组。支持按成员进行预共享密钥认证。

  3. 成功认证和注册后,成员设备会通过 GDOI groupkey-pull 交换从服务器检索指定组标识符的组 SA 和密钥。

  4. 服务器将成员添加到组的成员中。

  5. 组成员交换使用组 SA 密钥加密的数据包。

服务器会向组件发送 SA 和密钥更新,并使用重新密钥 (GDOI groupkey-push) 消息对成员进行分组。服务器在 SA 到期前发送重新密钥消息,以确保有有效的密钥可用于对组成员之间的流量进行加密。

由服务器发送的重新密钥消息需要来自每个组成员的确认 (ack) 消息。如果服务器未收到来自该成员的一条紧急消息,则在配置 retransmission-period 时将重新传输重新密钥消息(默认为 10 秒)。如果配置后 number-of-retransmission 成员没有回复(默认是 2 次),则该成员将从服务器的注册成员中删除。服务器和成员之间的 IKE SA 也将被移除。

服务器还会发送重新密钥消息,以便在组 SA 发生更改时向成员提供新密钥。

了解组 VPNv2 限制

组 VPNv2 服务器仅与支持 RFC 6407( 解释组域 (GDOI) 的 VPNv2 组成员一起运行。

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。本版本对组 VPNv2 不支持以下内容:

  • SNMP。

  • 拒绝 Cisco GET VPN 服务器的策略。

  • 第 1 阶段 IKE 身份验证的 PKI 支持。

  • 组服务器和成员的主机代管,其中服务器和成员功能并存于同一物理设备中。

  • 配置为机箱群集的组成员。

  • 用于配置和监控的 J-Web 界面。

  • 组播数据流量。

在 IP 地址无法保留的部署中,不支持组 VPNv2,例如,在使用 NAT 的互联网上。

了解组 VPNv2 服务器成员通信

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。服务器成员通信允许服务器向成员发送 GDOI groupkey-push (重新密钥)消息。如果未为组配置服务器成员通信,成员可以发送 GDOI groupkey-pull 消息以在服务器上注册和重新注册,但是服务器无法向成员发送 groupkey-push 消息。

服务器成员通信使用 [edit security group-vpn server] 层次结构中的server-member-communication 配置语句为组配置。可以定义以下选项:

  • 认证算法(sha-256 或 sha-384),用于对成员进行服务器身份验证。没有默认算法。

  • 用于服务器和成员之间通信的加密算法。您可以指定 aes-128-cbc、aes-192-cbc 或 aes-256-cbc。没有默认算法。

  • 单播通信类型,用于对发送给组成员的重新密钥消息。

  • 密钥加密密钥 (KEK) 的生存期。默认为 3600 秒。

  • 组服务器在无响应的情况下将消息重新传输 groupkey-push 至组成员的次数(默认为 2 次),以及重新传输之间的时间段(默认为 10 秒)。

如果未配置某个组的服务器成员通信,则命令显示 show security group-vpn server registered-members 的成员列表显示已在服务器上注册的组成员;成员是否处于活动状态。配置组的服务器成员通信时,将清除组成员名单。对于单播通信类型, show security group-vpn server registered-members 命令仅显示活动成员。

了解组 VPNv2 关键操作

本主题包含以下部分:

组密钥

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。组服务器维护一个数据库,以跟踪 VPN 组、组成员和组密钥之间的关系。服务器下载给成员的组密钥有两种:

  • 密钥加密密钥 (KEK)—用于加密 SA 重新密钥 (GDOI groupkey-push) 交换。每个组支持一个 KEK。

  • 流量加密密钥 (TEK)—用于对组成员之间的 IPsec 数据流量进行加密和解密。

仅当成员上配置了匹配 策略时,与 SA 关联的密钥才会被组成员接受。组将安装接受的密钥,而已拒绝的密钥将被丢弃。

重新密钥消息

如果组配置为服务器成员通信,服务器将向组成员发送 SA 和密钥更新,并使用 rekey (GDOI groupkey-push) 消息进行分组。重新密钥消息将在 SA 到期前发送;从而确保可以使用有效的密钥对组成员之间的流量进行加密。

当组成员数发生变化或 SA 组更改时,服务器还会发送重新密钥消息,以向成员提供新密钥(例如,添加或删除组策略)。

服务器成员通信选项必须在服务器上配置,以便服务器向组成员发送重新密钥消息。

组服务器将单播重新密钥消息的一个副本发送给每个组成员。收到重新密钥消息后,成员必须向服务器发送确认 (ACK)。如果服务器未从成员处接收 ACK(包括重新传输重新密钥消息),服务器会认为该成员处于非活动状态,并将其从成员列表中删除。服务器停止向成员发送重新密钥消息。

服务器 number-of-retransmission 成员通信的和 retransmission-period 配置语句可控制服务器在未从成员收到 ACK 时对重新密钥消息的共鸣。

服务器发送重新密钥消息的间隔时间基于 [edit security group-vpn server group group-name] 层次结构中配置语句的值lifetime-seconds。在 KEK 和 TEK 密钥到期前生成新密钥。

lifetime-seconds KEK 配置为服务器成员通信的一部分;默认为 3600 秒。lifetime-seconds TEK 的配置为 IPsec 提议;默认为 3600 秒。

会员注册

如果组成员在当前密钥到期前未从服务器接收到新的 SA 密钥,则成员必须重新注册服务器并使用 GDOI groupkey-pull 交换获取更新的密钥。

组 VPNv2 配置概述

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。本主题介绍配置组 VPNv2 的主要任务。

组控制器/密钥服务器 (GCKS) 管理组 VPNv2 安全关联 (SA),并生成加密密钥并将它们分配给组成员。您可以使用组 VPNv2 服务器群集提供 GCKS 冗余。请参阅 了解组 VPNv2 服务器群集

在组服务器上,配置以下内容:

  1. IKE 第 1 阶段 SA。请参阅 了解 VPNv2 组的 IKE 第 1 阶段配置
  2. IPsec SA。请参阅 了解 VPNv2 组的 IPsec SA 配置
  3. VPN 组信息,包括组标识符、组成员的 IKE 网关、组中成员的最大数量以及服务器成员通信。组配置包括一个组策略,用于定义 SA 和密钥应用到的信息流。服务器群集和反回放时间窗口可选择配置。请参阅 组 VPNv2 配置概述了解组 VPNv2 流量定向

在组成员上,配置以下内容:

  1. IKE 第 1 阶段 SA。请参阅 了解 VPNv2 组的 IKE 第 1 阶段配置

  2. IPsec SA。请参阅 了解 VPNv2 组的 IPsec SA 配置

  3. 一种 IPsec 策略,用于定义传入区段(通常是受保护的 LAN)、传出区域(通常是 WAN)以及策略适用的 VPN 组。还可以指定排除或未打开故障的规则。请参阅 了解组 VPNv2 流量定向

  4. 安全策略,允许在 IPsec 策略中指定的区域之间分组 VPN 流量。

组 VPNv2 操作需要一个工作路由拓扑,允许客户端设备到达其在整个网络中的目标站点。

该组在服务器上配置, group 配置语句 在 [edit security group-vpn server] 层次结构中。

组信息包含以下信息:

  • 组标识符 — 标识 VPN 组的值。必须在组成员上配置同一组标识符。

  • 每个组成员都使用配置语句配置 ike-gateway 。此配置语句可能有多个实例,组中每个成员一个。

  • 组策略 — 要下载给成员的策略。组策略描述 SA 和密钥应用到的信息流。请参阅 了解组 VPNv2 流量定向

  • 成员阈值 — 组中成员的最大数量。达到组成员阈值后,服务器将停止响应 groupkey-pull 来自新成员的发起。请参阅 了解组 VPNv2 服务器群集

  • 服务器成员通信 — 可选配置,允许服务器向成员发送 groupkey-push 重新密钥消息。

  • 服务器群集 — 支持组控制器/密钥服务器 (GCKS) 冗余的可选配置。请参阅 了解组 VPNv2 服务器群集

  • 反回放 — 可检测数据包拦截和回放的可选配置。请参阅 了解组 VPNv2 Antireplay

了解 VPNv2 组的 IKE 第 1 阶段配置

组服务器与组成员之间的 IKE 第 1 阶段 SA 建立一个安全通道,用于协商由组共享的 IPsec SA。对于瞻博网络安全设备上的标准 IPsec VPN,第 1 阶段 SA 配置包括指定 IKE 提议、策略和网关。

对于组 VPNv2,IKE 第 1 阶段 SA 配置类似于标准 IPsec VPN 的配置,但在 [edit security group-vpn server ike] 和 [edit security group-vpn member ike] 层次结构中执行。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。

在 IKE 提议配置中,您将设置身份验证方法以及将用于在参与方之间打开安全通道的身份验证和加密算法。在 IKE 策略配置中,您设置将协商第 1 阶段通道的模式,指定要使用的密钥交换类型,并参考第 1 阶段提议。在 IKE 网关配置中,您参考第 1 阶段策略。

组服务器上的 IKE 提议和策略配置必须与组成员的 IKE 提议和策略配置匹配。在组服务器上,为每个组成员配置 IKE 网关。在组成员中,IKE 网关配置中最多可指定四个服务器地址。

了解 VPNv2 组的 IPsec SA 配置

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。服务器和成员在第 1 阶段协商中建立了安全且经过身份验证的通道后,他们会继续建立由组成员共享的 IPsec SA,以保护成员之间传输的数据。虽然 VPNv2 组的 IPsec SA 配置类似于标准 VPN 的配置,但组成员无需与其他组成员协商 SA。

VPNv2 组的 IPsec 配置包含以下信息:

  • 在组服务器上,IPsec 提议配置为要用于 SA 的安全协议、身份验证和加密算法。IPsec SA 提议在组服务器上配置, proposal 配置语句在 [edit security group-vpn server ipsec] 层次结构中。

  • 在组成员上,配置了 Autokey IKE,其中引用组标识符、组服务器(使用配置语句配置 ike-gateway )以及成员用于连接到组对等方的接口。Autokey IKE 在成员上配置, vpn 配置语句位于 [edit security group-vpn member ipsec] 层次结构中。

了解组 VPNv2 流量定向

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。组服务器向指定组的成员分配 IPsec 安全关联 (SA) 和密钥。属于同一组的所有成员共享同一组 IPsec SA。安装在特定组成员上的 SA 由与组 SA 和在组成员上配置的 IPsec 策略相关联的策略决定。

在组服务器上配置的组策略

在 VPN 组中,服务器推送至成员的每个组 SA 和密钥都与组策略相关联。组策略介绍应使用密钥的流量,包括协议、源地址、源端口、目标地址和目标端口。在服务器上,组策略配置 match-policy policy-name 了 [edit security group-vpn server group name ipsec-sa name] 层次结构级别的选项。

相同(配置相同的源地址、目标地址、源端口、目标端口和协议值)的组策略不能存在于单个组中。如果尝试提交包含组相同组策略的配置,则会返回错误。如果发生这种情况,您必须删除同一组策略之一,然后才能提交配置。

在组成员上配置的 IPsec 策略

在组成员上,IPsec 策略包含以下信息:

  • 组信息流的传入区段 (from-zone)。

  • 组信息流的传出区段 (to-zone)。

  • IPsec 策略所适用组的名称。只有一组 VPNv2 名称可由特定的从区域/到区域对引用。

组成员用于连接到组 VPNv2 的接口必须属于传出区域。此接口使用 [edit security group-vpn member ipsec vpn vpn-name] 层次结构级别的group-vpn-external-interface语句指定。

在组成员上,IPsec 策略在 [edit security ipsec-policy] 层次结构级别配置。对与 IPsec 策略匹配的信息流进行进一步检查,以防排除组配置的排除和故障打开规则。

故障关闭

默认情况下,与排除或故障开放规则或从组服务器接收的组策略不匹配的信息流被阻止:这称为 故障关闭

排除和故障开放规则

在组成员上,可以为每个组配置以下类型的规则:

  • 从 VPN 加密中排除的信息流。此类流量的示例可包括 BGP 或 OSPF 路由协议。要从组中排除信息流,请使用 set security group-vpn member ipsec vpn vpn-name exclude rule 配置。最多可以配置 10 个排除规则。

  • 此流量对客户的操作至关重要,如果组成员未收到 IPsec SA 的有效信息流加密密钥 (TEK),则必须以明文(未加密)方式发送。故障打开规则允许此信息流,而所有其他信息流均被阻止。使用配置启用 set security group-vpn member ipsec vpn vpn-name fail-open rule 故障打开。最多可以配置 10 个故障开放规则。

IPsec 策略和规则的优先级

IPsec 策略和规则对组成员具有以下优先级:

  1. 排除定义要从 VPN 加密中排除流量的规则。

  2. 从组服务器下载的组策略。

  3. 故障开放规则,用于定义在没有 SA 有效 TEK 的情况下以明文的方式发送的流量。

  4. 阻止流量的故障关闭策略。如果信息流与排除规则或故障开放规则或组策略不匹配,则这是默认值。

了解组 VPNv2 恢复探测过程

SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。两种情况可能表明组成员与组服务器和其他组成员的不同步:

  • 该组成员收到带有未识别安全参数索引 (SPI) 的封装安全有效负载 (ESP) 数据包。

  • 组成员上有传出 IPsec 流量,但是没有传入 IPsec 流量。

检测到任一情况时,可在组成员上触发恢复探测过程。恢复探测过程会以特定间隔启动 GDOI groupkey-pull 交换,从组服务器更新成员的 SA。如果存在恶意 SPI 数据包的 DoS 攻击,或者发送方本身无法同步,则组成员上的失同步指示可能是误报。为避免系统过载,启动会以 10、 groupkey-pull 20、40、80、160 和 320 秒的间隔重新检查。

默认情况下,恢复探测过程禁用。要启用恢复探测进程,请在 [edit security group-vpn member ipsec vpn vpn-name] 层次结构级别配置recovery-probe

了解组 VPNv2 Antireplay

vSRX 实例和所有 SRX 系列设备(SRX5400、SRX5600 和 SRX5800 设备除外)支持组 VPNv2 反回放。Antireplay 是一项 IPsec 功能,可检测数据包何时被拦截,然后被攻击者重放。默认情况下,组将禁用反回放。

每个 IPsec 数据包都包含一个时间戳。组成员检查数据包的时间戳是否属于配置 anti-replay-time-window 的值。如果时间戳超过值,数据包将被丢弃。

建议在支持组 VPNv2 反回放的所有设备上配置 NTP。

在主机机的 vSRX 实例上运行且虚拟机管理程序在繁重的负载下运行的组成员可能会遇到可以通过重新配置 anti-replay-time-window 值来纠正的问题。如果未传输与组成员上的 IPsec 策略匹配的数据,请检查 show security group-vpn member ipsec statistics D3P 错误的输出。确保 NTP 正常运行。如果出现错误,请调整 anti-replay-time-window 值。

示例:配置组 VPNv2 服务器和成员

此示例说明如何配置组 VPNv2 服务器,为组 VPNv2 组成员提供组控制器/密钥服务器 (GCKS) 支持。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。

要求

该示例使用以下硬件和软件组件:

  • 运行 Junos OS 版本 15.1X49-D30 或更高版本、支持组 VPNv2 的受支持的 SRX 系列设备或 vSRX 实例。此 SRX 系列设备或 vSRX 实例作为组 VPNv2 服务器运行。

  • 两个支持运行 Junos OS 版本 15.1X49-D30 或更高版本的 SRX 系列设备或 vSRX 实例,支持组 VPNv2。这些设备或实例作为组 VPNv2 组成员运行。

  • 两个运行 Junos OS 版本 15.1R2 或更高版本的受支持的 MX 系列设备,支持组 VPNv2。这些设备作为组 VPNv2 组成员运行。

必须在每个设备上配置主机名、root 管理员密码和管理访问权限。建议在每个设备上也配置 NTP。

组 VPNv2 操作需要一个工作路由拓扑,允许客户端设备到达其在整个网络中的目标站点。此示例侧重于组 VPNv2 配置;路由配置未说明。

概述

在此示例中,VPNv2 组网络由一台服务器和四个成员组成。其中两个成员是 SRX 系列设备或 vSRX 实例,另外两个成员是 MX 系列设备。共享组 VPN SA 在组成员之间保护流量。

组 VPN SA 必须受第 1 阶段 SA 保护。因此,组 VPN 配置必须包括在组服务器和组成员上配置 IKE 第 1 阶段协商。

必须在组服务器和组成员上配置同一组标识符。在此示例中,组名称GROUP_ID-0001,而组标识符为 1。在服务器上配置的组策略指定,SA 和密钥应用于 172.16.0.0/12 范围内的子网之间的流量。

在 SRX 或 vSRX 组成员中,将 LAN 区域配置为从区域(传入流量)和 WAN 区域作为到区域(传出流量)的组的 IPsec 策略。还需要一种安全策略来允许 LAN 和 WAN 区域之间的流量。

拓扑

图 3 显示了要为此示例配置的瞻博网络设备。

图 3: 带 SRX 或 vSRX 和 MX 系列成员的 VPNv2 组服务器带 SRX 或 vSRX 和 MX 系列成员的 VPNv2 组服务器

配置

配置组服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 服务器:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec 提议。

  5. 配置组。

  6. 配置服务器到成员的通信。

  7. 配置要下载到组成员的组策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置组成员 GM-0001(SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 IPsec 策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置组成员 GM-0002(SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。

  2. 配置静态路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置 IPsec 策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请在配置模式下输入 commit

配置集团成员 GM-0003(MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要配置组 VPNv2 成员:

  1. 配置接口。

  2. 配置路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置服务过滤器。

  6. 配置服务集。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow securityshow servicesshow firewall 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

配置集团成员 GM-0004(MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要配置组 VPNv2 成员:

  1. 配置接口。

  2. 配置路由。

  3. 配置 IKE 提议、策略和网关。

  4. 配置 IPsec SA。

  5. 配置服务过滤器。

  6. 配置服务集。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow securityshow servicesshow firewall 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

验证

确认配置工作正常。

验证组成员注册

目的

验证组成员是否已在服务器上注册。

行动

在操作模式下,在服务器上输入 show security group-vpn server registered-membersshow security group-vpn server registered-members detail 命令。

验证组密钥是否已分发

目的

验证组密钥是否分发给成员。

行动

在操作模式下,在组服务器上输入 show security group-vpn server statistics 命令。

验证组服务器上的组 VPN SA

目的

验证组服务器上的组 VPN SA。

行动

在操作模式下,在组服务器上输入 show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail 命令。

验证组成员上的组 VPN SA

目的

验证组成员上的组 VPN SA。

行动

在操作模式下,输入 show security group-vpn member kek security-associations SRX 或 vSRX 组成员上的命令 show security group-vpn member kek security-associations detail

在操作模式下,输入 show security group-vpn member kek security-associations MX 系列组成员的命令 show security group-vpn member kek security-associations detail

验证组服务器上的 IPsec SA

目的

验证组服务器上的 IPsec SA。

行动

在操作模式下,在组服务器上输入 show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail 命令。

验证组成员的 IPsec SA

目的

验证组成员上的 IPsec SA。

行动

在操作模式下,输入 show security group-vpn member ipsec security-associations SRX 或 vSRX 组成员上的命令 show security group-vpn member ipsec security-associations detail

在操作模式下,输入 show security group-vpn member ipsec security-associations MX 系列组成员的命令 show security group-vpn member ipsec security-associations detail

验证组策略(仅限 SRX 或 vSRX 组成员)

目的

验证 SRX 或 vSRX 组成员的组策略。

行动

在操作模式下,在组成员上输入 show security group-vpn member policy 命令。

示例:为单播重新密钥消息配置组 VPNv2 服务器成员通信

此示例说明如何使服务器向组成员发送单播重新密钥消息,以确保有有效的密钥可用于加密组成员之间的流量。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。

要求

开始之前:

  • 配置组服务器和成员进行 IKE 第 1 阶段协商。

  • 为 IPsec SA 配置组服务器和成员。

  • 在组服务器上配置组 g1

概述

在此示例中,您为组 g1指定以下服务器成员通信参数:

  • 服务器向组成员发送单播重新密钥消息。

  • aes-128-cbc 用于加密服务器和成员之间的流量。

  • sha-256 用于成员身份验证。

默认值用于 KEK 生存期和重新传输。

配置

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置服务器成员通信:

  1. 设置通信类型。

  2. 设置加密算法。

  3. 设置成员身份验证。

验证

要验证配置是否正常工作,请输入 show security group-vpn server group g1 server-member-communication 命令。