IPsec VPN 配置概述
阅读本主题,了解 Junos OS 中的 VPN 配置。
一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。在两个参与设备之间创建 IPsec 隧道,以保护 VPN 通信。
具有 Autokey IKE 功能的 IPsec VPN 配置概述
IPsec VPN 协商分两个阶段进行。在第 1 阶段,参与方建立一个可以在其中协商 IPsec 安全关联 (SA) 的安全通道。在第 2 阶段,参与方协商 IPsec SA,以便对将流经隧道的流量进行身份验证。
本概述介绍使用自动密钥 IKE(预共享密钥或证书)配置基于路由或基于策略的 IPsec VPN 的基本步骤。
要使用自动密钥 IKE 配置基于路由或基于策略的 IPsec VPN:
也可以看看
具有静态 IP 地址的站点到站点 VPN 的推荐配置选项
表 1 列出了两个具有静态 IP 地址的安全设备之间通用站点到站点 VPN 的配置选项。VPN 可以是基于路由的,也可以是基于策略的。
配置选项 |
注释 |
|---|---|
IKE 配置选项: |
|
主模式 |
当对等方具有静态 IP 地址时使用。 |
RSA 或 DSA 证书 |
RSA 或 DSA 证书可在本地设备上使用。指定对等方上的证书类型(PKCS7 或 X.509)。 |
Diffie-Hellman (DH) 组 14 |
DH 组 14 比 DH 组 1、2 或 5 提供更高的安全性。 |
高级加密标准 (AES) 加密 |
当密钥长度相等时,AES 的加密强度优于数据加密标准 (DES) 和三重 DES (3DES)。符合联邦信息处理标准 (FIPS) 和通用标准 EAL4 标准的加密算法。 |
安全散列算法 256 (SHA-256) 身份验证 |
SHA-256 提供比 SHA-1 或消息摘要 5 (MD5) 更高的加密安全性。 |
IPsec 配置选项: |
|
完全向前保密 (PFS) DH 组 14 |
PFS DH 组 14 提供了更高的安全性,因为对等方会执行第二次 DH 交换以生成用于 IPsec 加密和解密的密钥。 |
封装安全性有效负载 (ESP) 协议 |
ESP 通过加密和封装原始 IP 数据包提供机密性,并通过身份验证提供完整性。 |
AES 加密 |
当密钥长度相等时,AES 的加密结构比 DES 和 3DES 更强。符合 FIPS 和通用标准 EAL4 标准的加密算法。 |
SHA-256 身份验证 |
SHA-256 提供比 SHA-1 或 MD5 更高的加密安全性。 |
防重放保护 |
默认启用。禁用此功能可能会解决与第三方对等方的兼容性问题。 |
也可以看看
具有动态 IP 地址的站点到站点 VPN 或拨号 VPN 的推荐配置选项
表 2 列出了通用站点到站点 VPN 或拨号 VPN 的配置选项,其中对等设备具有动态 IP 地址。
配置选项 |
注释 |
|---|---|
IKE 配置选项: |
|
主模式 |
与证书一起使用。 |
2048 位证书 |
可以使用 RSA 或 DSA 证书。指定要在本地设备上使用的证书。指定对等方上的证书类型(PKCS7 或 X.509)。 |
Diffie-Hellman (DH) 组 14 |
DH 组 14 比 DH 组 1、2 或 5 提供更高的安全性。 |
高级加密标准 (AES) 加密 |
当密钥长度相等时,AES 的加密强度优于数据加密标准 (DES) 和三重 DES (3DES)。符合联邦信息处理标准 (FIPS) 和通用标准 EAL4 标准的加密算法。 |
安全散列算法 256 (SHA-256) 身份验证 |
SHA-256 提供比 SHA-1 或消息摘要 5 (MD5) 更高的加密安全性。 |
IPsec 配置选项: |
|
完全向前保密 (PFS) DH 组 14 |
PFS DH 组 14 提供了更高的安全性,因为对等方会执行第二次 DH 交换以生成用于 IPsec 加密和解密的密钥。 |
封装安全性有效负载 (ESP) 协议 |
ESP 通过加密和封装原始 IP 数据包提供机密性,并通过身份验证提供完整性。 |
AES 加密 |
当密钥长度相等时,AES 的加密结构比 DES 和 3DES 更强。符合 FIPS 和通用标准 EAL4 标准的加密算法。 |
SHA-256 身份验证 |
SHA-256 提供比 SHA-1 或 MD5 更高的加密安全性。 |
防重放保护 |
默认启用。禁用此功能可能会解决与第三方对等方的兼容性问题。 |
也可以看看
了解具有动态端点的 IPsec VPN
概述
IPsec VPN 对等方可以具有与之建立 VPN 连接的对等方不知道的 IP 地址。例如,对等方可以通过动态主机配置协议 (DHCP) 动态分配 IP 地址。分支机构或家庭办公室中的远程访问客户端或在不同物理位置之间移动的移动设备都可能出现这种情况。或者,对等方可以位于将对等方的原始源 IP 地址转换为其他地址的 NAT 设备后面。IP 地址未知的 VPN 对等方称为 动态端点 ,使用动态端点建立的 VPN 称为 动态端点 VPN。
在 SRX 系列防火墙上,动态端点 VPN 支持 IKEv1 或 IKEv2。SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv4 流量。SRX 系列防火墙上的动态端点 VPN 支持安全隧道上的 IPv6 流量。
AutoVPN 网络不支持 IPv6 流量。
以下部分介绍了使用动态端点配置 VPN 时需要注意的事项。
IKE 身份
在动态端点上,必须为设备配置 IKE 身份,以便设备向其对等方标识自己。在对等方上验证动态端点的本地身份。默认情况下,SRX 系列防火墙将 IKE 身份视为以下身份之一:
使用证书时,可使用可识别名称 (DN) 来识别用户或组织。
用于标识端点的主机名或完全限定域名 (FQDN)。
用户全限定域名 (UFQDN),也称为 主机名用户。这是遵循电子邮件地址格式的字符串。
IKEv1 策略的积极模式
将 IKEv1 与动态端点 VPN 配合使用时,必须将 IKE 策略配置为积极模式。
IKE 策略和外部接口
在使用相同外部接口的 SRX 系列防火墙上配置的所有动态端点网关都可以使用不同的 IKE 策略,但 IKE 策略必须使用相同的 IKE 提议。这适用于 IKEv1 和 IKEv2。
NAT
如果动态端点位于 NAT 设备后面,则必须在 SRX 系列防火墙上配置 NAT-T。在 VPN 对等方之间的连接期间,可能需要 NAT 激活来维护 NAT 转换。默认情况下,SRX 系列防火墙上会启用 NAT-T,并且 NAT 保持连接每隔 20 秒发送一次。
组和共享 IKE ID
您可以为每个动态端点配置单独的 VPN 隧道。对于 IPv4 动态端点 VPN,您可以使用组 IKE ID 或共享 IKE ID 功能来允许多个动态端点共享 IKE 网关配置。
组 IKE ID 允许您为所有动态端点定义完整IKE ID 的公共部分,例如“example.net”。用户特定的部分(如用户名“Bob”)与公共部分连接起来形成一个完整的IKE ID (Bob.example.net),用于唯一标识每个用户连接。
共享 IKE ID 允许动态端点共享单个 IKE ID 和预共享密钥。
也可以看看
了解 IKE 身份配置
IKE 标识 (IKE ID) 用于在 IKE 协商期间验证 IKE 对等设备。SRX 系列防火墙从远程对等方接收的 IKE ID 可以是 IPv4 或 IPv6 地址、主机名、全限定域名 (FQDN)、用户 FQDN (UFQDN) 或可识别名称 (DN)。远程对等方发送的 IKE ID 需要与 SRX 系列防火墙预期的 ID 匹配。否则,IKE ID 验证将失败,并且不会建立 VPN。
IKE ID 类型
SRX 系列防火墙支持以下类型的远程对等方 IKE 身份:
IPv4 或 IPv6 地址通常与站点到站点 VPN 一起使用,其中远程对等方具有静态 IP 地址。
主机名是标识远程对等方系统的字符串。这可以是解析为 IP 地址的 FQDN。它也可以是部分 FQDN,与 IKE 用户类型结合使用,以标识特定的远程用户。
当配置主机名而不是 IP 地址时,提交的配置和后续隧道建立将基于当前解析的 IP 地址。如果远程对等方的 IP 地址发生更改,则配置将不再有效。
UFQDN 是一个字符串,其格式与电子邮件地址相同,例如
user@example.com。DN 是与数字证书一起使用的名称,用于唯一标识用户。例如,DN 可以是“CN=user, DC=example, DC=com”。或者,您可以使用
container关键字指定 DN 中字段的顺序及其值与配置的 DN 完全匹配,或者使用wildcard关键字指定 DN 中字段的值必须匹配,但字段的顺序并不重要。现在,您只能在层次结构之间
container-string和wildcard-string层次结构中[edit security ike gateway gateway_name dynamic distinguished-name]配置一个动态 DN 属性。如果在配置第一个属性之后尝试配置第二个属性,则第一个属性将替换为第二个属性。如果已配置其中一个属性,则必须在升级设备之前移除这两个属性。当有多个远程对等方连接到 SRX 系列防火墙上的同一 VPN 网关时,IKE 用户类型可与 AutoVPN 和远程访问 VPN 一起使用。配置
ike-user-type group-ike-id为指定组 IKE ID 或ike-user-type shared-ike-id指定共享 IKE ID。
远程 IKE ID 和站点到站点 VPN
对于站点到站点 VPN,远程对等方的 IKE ID 可以是出口网络接口卡的 IP 地址、环路地址、主机名或手动配置的 IKE ID,具体取决于对等设备的配置。
默认情况下,SRX 系列防火墙将远程对等方的 IKE ID 视为使用配置配置的 set security ike gateway gateway-name address IP 地址。如果远程对等方的 IKE ID 值不同,则需要在 [edit security ike gateway gateway-name] 层级配置该remote-identity语句。
例如,SRX 系列防火墙上的 IKE 网关是使用命令配置 set security ike gateway remote-gateway address 203.0.113.1 的。但是,远程对等方发送的 IKE ID 是 host.example.net。SRX 系列防火墙对远程对等方的 IKE ID (203.0.113.1) 的预期与对等方发送的实际 IKE ID (host.example.net) 不匹配。在这种情况下,IKE ID 验证将失败。使用 来 set security ike gateway remote-gateway remote-identity hostname host.example.net 匹配从远程对等方收到的 IKE ID。
远程 IKE ID 和动态端点 VPN
对于动态端点 VPN,远程对等方的预期 IKE ID 配置为 [edit security ike gateway gateway-name dynamic] 层级的选项。对于 AutoVPN, hostname 可以在 ike-user-type group-ike-id 有多个具有通用域名的对等方的情况下使用。如果证书用于验证对等方,则可以配置 DN。
SRX 系列防火墙的本地 IKE ID
默认情况下,SRX 系列防火墙将其外部接口到远程对等方的 IP 地址用作其 IKE ID。可以通过在 [edit security ike gateway gateway-name] 层次结构级别配置语句来local-identity覆盖此 IKE ID。如果需要在 SRX 系列防火墙上配置该local-identity语句,请确保配置的 IKE ID 与远程对等方预期的 IKE ID 匹配。
也可以看看
为站点到站点 VPN 配置远程 IKE ID
默认情况下,SRX 系列防火墙会使用 IKE 网关配置的 IP 地址验证从对等方收到的 IKE ID。在某些网络设置中,从对等方接收的 IKE ID(可以是 IPv4 或 IPv6 地址、全限定域名 [FQDN]、专有名称或电子邮件地址)与 SRX 系列防火墙上配置的 IKE 网关不匹配。这可能会导致第 1 阶段验证失败。
要修改所用 IKE ID 的 SRX 系列防火墙或对等设备的配置:
在 SRX 系列防火墙上,
remote-identity在 [edit security ike gateway gateway-name] 层级配置该语句,以匹配从对等方接收的 IKE ID。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。如果未配置
remote-identity,设备将使用默认情况下与远程对等方对应的 IPv4 或 IPv6 地址。在对等设备上,确保 IKE ID 与 SRX 系列防火墙上配置的
remote-identityID 相同。如果对等设备是 SRX 系列防火墙,请在 [edit security ike gateway gateway-name] 层次结构级别配置该local-identity语句。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。
也可以看看
了解 SRX 系列防火墙上的 OSPF 和 OSPFv3 身份验证
OSPFv3 没有内置身份验证方法,依靠 IP 安全性 (IPsec) 套件来提供此功能。IPsec 提供源身份验证、数据完整性、机密性、重放保护和源不可否认性。您可以使用 IPsec 保护特定的 OSPFv3 接口和虚拟链路,并为 OSPF 数据包提供加密。
OSPFv3 使用 IPsec 协议的 IP 身份验证头 (AH) 和 IP 封装安全性有效负载 (ESP) 部分来验证对等方之间的路由信息。AH 可以提供无连接完整性和数据源身份验证。它还提供防重放保护。AH 对尽可能多的 IP 报头以及上层协议数据进行身份验证。但是,某些 IP 报头字段可能会在传输过程中发生变化。由于发送方可能无法预测这些字段的值,因此它们不受 AH 的保护。ESP 可以提供加密和有限流量、机密性或无连接完整性、数据源身份验证以及防重放服务。
IPsec 基于安全关联 (SA)。SA 是建立 IPsec 关系的设备之间协商的一组 IPsec 规范。此单工连接为 SA 携带的数据包提供安全服务。这些规范包括建立 IPsec 连接时要使用的身份验证类型、加密和 IPsec 协议的首选项。SA 用于对单一方向的特定流量进行加密和身份验证。因此,在正常的双向流量中,流量由一对 SA 保护。必须手动配置要与 OSPFv3 配合使用的 SA 并使用传输模式。必须在 SA 的两端配置静态值。
要为 OSPF 或 OSPFv3 配置 IPsec,请先在层次结构级别使用 [edit security ipsec] 选项定义security-association sa-name手册 SA。此功能仅支持传输模式下的双向手册密钥 SA。手动 SA 不需要对等方之间协商。所有值(包括键)都是静态的,并在配置中指定。手动 SA 以静态方式定义要使用的安全参数索引 (SPI) 值、算法和密钥,并且需要在两个端点(OSPF 或 OSPFv3 对等方)上进行匹配的配置。因此,每个对等方必须具有相同的配置选项才能进行通信。
加密和身份验证算法的实际选择权留给了您的 IPsec 管理员;但是,我们有以下建议:
使用带有空加密的 ESP 可提供对协议标头的身份验证,但不提供对 IPv6 标头、扩展报头和选项的。使用空加密时,您选择不对协议标头提供加密。这对于故障排除和调试目的很有用。有关 null 加密的详细信息,请参阅 RFC 2410,NULL 加密算法及其与 IPsec 的配合使用。
将 ESP 与 DES 或 3DES 配合使用,以实现完全机密性。
使用 AH 为协议标头、IPv6 标头中的不可变字段以及扩展头和选项提供身份验证。
配置的 SA 应用于 OSPF 或 OSPFv3 配置,如下所示:
对于 OSPF 或 OSPFv3 接口,请在
ipsec-sa name[edit protocols ospf area area-id interface interface-name] 或edit protocols ospf3 area area-id interface interface-name[] 层级添加该语句。只能为 OSPF 或 OSPFv3 接口指定一个 IPsec SA 名称;但是,不同的 OSPF/OSPFv3 接口可以指定相同的 IPsec SA。对于 OSPF 或 OSPFv3 虚拟链路,请在 [
edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] 或 [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 层级包含该ipsec-sa name语句。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。
以下限制适用于 SRX 系列防火墙上 OSPF 或 OSPFv3 的 IPsec 身份验证:
在 [
edit security ipsec vpn vpn-name manual] 层级配置的手动 VPN 配置不能应用于 OSPF 或 OSPFv3 接口或虚拟链路,以提供 IPsec 身份验证和机密性。如果设备上配置了具有相同本地地址和远程地址的现有 IPsec VPN,则无法将 IPsec 配置为 OSPF 或 OSPFv3 身份验证。
安全隧道 st0 接口不支持用于 OSPF 或 OSPFv3 身份验证的 IPsec。
不支持重新输入手册密钥。
不支持动态互联网密钥交换 (IKE) SA。
仅支持 IPsec 传输模式。在传输模式下,仅对 IP 数据包的有效负载(您传输的数据)进行加密和/或验证。不支持隧道模式。
由于仅支持双向手册 SA,因此所有 OSPFv3 对等方都必须配置相同的 IPsec SA。在 [
edit security ipsec] 层次结构级别配置手册双向 SA。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。
也可以看看
示例:在 SRX 系列防火墙上为 OSPF 接口配置 IPsec 身份验证
此示例说明如何配置手册安全关联 (SA) 并将其应用于 OSPF 接口。
要求
开始之前:
配置设备接口。
为 OSPF 网络中的设备配置路由器标识符。
控制 OSPF 指定路由器选择。
配置单区域 OSPF 网络。
配置多区域 OSPF 网络。
概述
您可以对 OSPF 和 OSPFv3 使用 IPsec 身份验证。您可以单独配置手册 SA,并将其应用于适用的 OSPF 配置。 表 3 列出了此示例中为手册 SA 配置的参数和值。
参数 |
value |
|---|---|
SA 名称 |
SA1 |
模式 |
传输 |
方向 |
双向 |
协议 |
AH |
SPI |
256 |
身份验证算法 密钥 |
HMAC-MD5-96 (ASCII) 123456789012ABC |
加密算法 密钥 |
DES (ASCII) cba210987654321 |
配置
配置手动 SA
CLI 快速配置
要快速配置用于在 OSPF 接口上进行 IPsec 身份验证的手册 SA,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入。commit
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要配置手册 SA,请执行以下操作:
指定 SA 的名称。
[edit] user@host# edit security ipsec security-association sa1
指定手册 SA 的模式。
[edit security ipsec security-association sa1] user@host# set mode transport
配置手册 SA 的方向。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
配置要使用的 IPsec 协议。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
配置 SPI 的值。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
配置身份验证算法和密钥。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
配置加密算法和密钥。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
结果
输入命令以 show security ipsec 确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
配置密码后,您将看不到密码本身。输出显示您配置的密码的加密形式。
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
为 OSPF 接口启用 IPsec 身份验证
CLI 快速配置
要将用于 IPsec 身份验证的手册 SA 快速应用于 OSPF 接口,请复制以下命令,将其粘贴到文本文件中,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入。commit
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
分步程序
要为 OSPF 接口启用 IPsec 身份验证:
创建 OSPF 区域。
要指定 OSPFv3,请在层次结构级别包含
[edit protocols]该ospf3语句。[edit] user@host# edit protocols ospf area 0.0.0.0
指定接口。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
应用 IPsec 手册 SA。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
结果
输入命令以 show ospf interface detail 确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
要确认您的 OSPFv3 配置,请输入命令 show protocols ospf3 。
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
如果完成设备配置,请从配置模式进入。commit
验证
确认配置工作正常。
验证 IPsec 安全性关联设置
目的
验证配置的 IPsec 安全关联设置。验证以下信息:
“安全性关联”字段将显示已配置安全关联的名称。
SPI 字段显示您配置的值。
模式字段显示传输模式。
“类型”字段将手册显示为安全关联的类型。
行动
在操作模式下,输入命令 show ospf interface detail 。
使用 VPN 向导配置 IPsec VPN
VPN 向导允许您执行基本的 IPsec VPN 配置,包括第 1 阶段和第 2 阶段。如需更高级的配置,请使用 J-Web 界面或 CLI。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上支持此功能。
要使用 VPN 向导配置 IPsec VPN:
- 在 J-Web 界面中选择
Configure>Device Setup>VPN。 - 单击启动 VPN 向导按钮。
- 按照向导提示进行操作。
向导页面的左上角区域显示了您在配置过程中所处的位置。页面的左下角区域显示了现场敏感帮助。单击“资源”标题下的链接时,该文档将在您的浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而不是浏览器窗口)。
也可以看看
示例:配置中心辐射型 VPN
此示例说明如何为企业级部署配置中心辐射型 IPsec VPN。有关使用 IKEv1 和 IKEv2 的站点到站点 IPSec VPN,请分别参见 具有 IKEv1 的基于路由的 IPsec VPN 和基于 路由的 IPsec VPN 以及具有 IKEv1 的基于路由的 IPsec VPN 。
要求
概述
此示例介绍如何配置分支机构部署中常见的中心辐射型 VPN。中心是公司办公室,有两个辐射:一个位于加利福尼亚森尼维尔的分支机构,一个位于马萨诸塞州韦斯特福德的分支机构。分支机构的用户将使用 VPN 与公司办公室安全地传输数据。
图 1 显示了中心辐射型 VPN 拓扑的示例。在此拓扑中,SRX5800 设备位于公司办公室。SRX 系列防火墙位于韦斯特福德分支机构,SSG140 设备位于森尼维尔分支机构。
在此示例中,您将配置公司办公室中心、Westford 分支和 Sunnyvale 分支。首先,配置接口、IPv4 静态和默认路由、安全区域和地址簿。然后,配置 IKE 第 1 阶段和 IPsec 第 2 阶段参数,并将 st0.0 接口绑定到 IPsec VPN。在中枢上,为多点配置 st0.0,并为 Sunnyvale 分支添加静态 NHTB 表条目。最后,配置安全策略和 TCP-MSS 参数。有关此示例中使用的特定配置参数,请参阅 表 4 到 表 8 。
中心辐射型 |
功能 |
姓名 |
配置参数 |
|---|---|---|---|
集线器 |
接口 |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
辐条 |
接口 |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
集线器 |
安全性区域 |
信任 |
|
不信任 |
|
||
VPN |
st0.0 接口绑定到此区域。 |
||
辐条 |
安全性区域 |
信任 |
|
不信任 |
|
||
VPN |
st0.0 接口绑定到此区域。 |
||
集线器 |
通讯簿条目 |
本地网 |
|
桑尼维尔网 |
|
||
韦斯特福德网 |
|
||
辐条 |
通讯簿条目 |
本地网 |
|
公司网 |
|
||
桑尼维尔网 |
|
中心辐射型 |
功能 |
姓名 |
配置参数 |
|---|---|---|---|
集线器 |
提议 |
IKE-phase1-提议 |
|
策略 |
IKE 第 1 阶段策略 |
|
|
网关 |
GW-韦斯特福德 |
|
|
GW-森尼维尔 |
|
||
辐条 |
提议 |
IKE-phase1-提议 |
|
策略 |
IKE 第 1 阶段策略 |
|
|
网关 |
GW-企业 |
|
中心辐射型 |
功能 |
姓名 |
配置参数 |
|---|---|---|---|
集线器 |
提议 |
ipsec-phase2-提议 |
|
策略 |
IPsec 第 2 阶段策略 |
|
|
VPN |
VPN-森尼维尔 |
|
|
VPN-韦斯特福德 |
|
||
辐条 |
提议 |
ipsec-phase2-提议 |
|
策略 |
IPsec 第 2 阶段策略 |
|
|
VPN |
VPN-企业 |
|
中心辐射型 |
目的 |
姓名 |
配置参数 |
|---|---|---|---|
集线器 |
安全策略允许从信任区域到 VPN 区域的流量。 |
本地到辐射 |
|
安全策略允许从 VPN 区域到信任区域的流量。 |
分支到本地 |
匹配标准:
|
|
安全策略允许区域内流量。 |
辐条到辐射 |
匹配标准:
|
|
辐条 |
安全策略允许从信任区域到 VPN 区域的流量。 |
公司目标 |
|
安全策略允许从 VPN 区域到信任区域的流量。 |
发起公司 |
匹配标准:
|
|
安全策略允许从不信任区域到信任区域的流量。 |
允许-任何 |
匹配标准:
|
目的 |
配置参数 |
|---|---|
TCC-MSS 作为 TCP 三次握手的一部分进行协商,并限制 TCP 分段的最大大小,以便更好地适应网络上的 MTU 限制。对于 VPN 流量,IPsec 封装开销以及 IP 和帧开销会导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。分段会导致带宽和设备资源的使用增加。 对于大多数基于以太网且 MTU 为 1500 或更高的网络,建议的起点值为 1350。您可能需要试验不同的 TCP-MSS 值,以获得最佳性能。例如,如果路径中任何设备的 MTU 较低,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。 |
MSS 值:1350 |
配置
- 为 Hub 配置基本网络、安全性区域和地址簿信息
- 为 Hub 配置 IKE
- 为中枢配置 IPsec
- 为 Hub 配置安全性策略
- 为中枢配置 TCP-MSS
- 为 Westford 分支配置基本网络、安全性区域和地址簿信息
- 为 Westford 分支配置 IKE
- 为 Westford 分支配置 IPsec
- 为 Westford 分支配置安全性策略
- 为 Westford 分支配置 TCP-MSS
- 配置 Sunnyvale 分支
为 Hub 配置基本网络、安全性区域和地址簿信息
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为中枢配置基本网络、安全区域和地址簿信息:
配置以太网接口信息。
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
配置静态路由信息。
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
配置不信任安全区域。
[edit ] user@hub# set security zones security-zone untrust
为不信任安全区域分配接口。
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
为不信任安全区域指定允许的系统服务。
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
配置信任安全区域。
[edit] user@hub# edit security zones security-zone trust
为信任安全区域分配接口。
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
为信任安全区域指定允许的系统服务。
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
创建地址簿并为其附加区域。
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
配置 VPN 安全区域。
[edit] user@hub# edit security zones security-zone vpn
为 VPN 安全区域分配接口。
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
创建另一个地址簿并为其附加一个区域。
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
结果
在配置模式下,输入 show interfaces、 show routing-options、 show security zones和 show security address-book 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
如果完成设备配置,请从配置模式进入。commit
为 Hub 配置 IKE
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为中枢配置 IKE,请执行以下操作:
创建 IKE 第 1 阶段提议。
[edit security ike] user@hub# set proposal ike-phase1-proposal
定义 IKE 提议身份验证方法。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
定义 IKE 提议 Diffie-Hellman 组。
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
定义 IKE 提议身份验证算法。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
定义 IKE 提议加密算法。
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
创建 IKE 第 1 阶段策略。
[edit security ike] user@hub# set policy ike-phase1-policy
设置 IKE 第 1 阶段策略模式。
[edit security ike policy ike-phase1-policy] user@hub# set mode main
指定对 IKE 提议的参考。
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
定义 IKE 第 1 阶段策略身份验证方法。
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
创建 IKE 第 1 阶段网关并定义其外部接口。
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
定义 IKE 第 1 阶段策略参考。
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
定义 IKE 第 1 阶段网关地址。
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
创建 IKE 第 1 阶段网关并定义其外部接口。
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
定义 IKE 第 1 阶段策略参考。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
定义 IKE 第 1 阶段网关地址。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
结果
在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
如果完成设备配置,请从配置模式进入。commit
为中枢配置 IPsec
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为中枢配置 IPsec:
创建 IPsec 第 2 阶段提议。
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
指定 IPsec 第 2 阶段提议协议。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
指定 IPsec 第 2 阶段提议身份验证算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
指定 IPsec 第 2 阶段提议加密算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
创建 IPsec 第 2 阶段策略。
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
指定 IPsec 第 2 阶段提议参考。
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 2。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
指定 IKE 网关。
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
指定 IPsec 第 2 阶段策略。
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
指定要绑定的接口。
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
将 st0 接口配置为多点。
[edit] user@hub# set interfaces st0 unit 0 multipoint
为 Sunnyvale 和 Westford 办公室添加静态 NHTB 表条目。
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
结果
在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
如果完成设备配置,请从配置模式进入。commit
为 Hub 配置安全性策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为中心配置安全策略:
创建安全策略以允许从信任区域到 VPN 区域的流量。
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
创建安全策略以允许从 VPN 区域到信任区域的流量。
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
创建安全策略以允许区域内流量。
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式进入。commit
为中枢配置 TCP-MSS
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security flow tcp-mss ipsec-vpn mss 1350
分步程序
要为中枢配置 TCP-MSS 信息:
配置 TCP-MSS 信息。
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
结果
在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
如果完成设备配置,请从配置模式进入。commit
为 Westford 分支配置基本网络、安全性区域和地址簿信息
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为 Westford 分支配置基本网络、安全区域和地址簿信息:
配置以太网接口信息。
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
配置静态路由信息。
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
配置不信任安全区域。
[edit] user@spoke# set security zones security-zone untrust
为安全区域分配接口。
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
为不信任安全区域指定允许的系统服务。
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
配置信任安全区域。
[edit] user@spoke# edit security zones security-zone trust
为信任安全区域分配接口。
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
为信任安全区域指定允许的系统服务。
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
配置 VPN 安全区域。
[edit] user@spoke# edit security zones security-zone vpn
为 VPN 安全区域分配接口。
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
创建地址簿并为其附加区域。
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
创建另一个地址簿并为其附加一个区域。
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
结果
在配置模式下,输入 show interfaces、 show routing-options、 show security zones和 show security address-book 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
如果完成设备配置,请从配置模式进入。commit
为 Westford 分支配置 IKE
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为 Westford 分支配置 IKE,请执行以下操作:
创建 IKE 第 1 阶段提议。
[edit security ike] user@spoke# set proposal ike-phase1-proposal
定义 IKE 提议身份验证方法。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
定义 IKE 提议 Diffie-Hellman 组。
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
定义 IKE 提议身份验证算法。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
定义 IKE 提议加密算法。
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
创建 IKE 第 1 阶段策略。
[edit security ike] user@spoke# set policy ike-phase1-policy
设置 IKE 第 1 阶段策略模式。
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
指定对 IKE 提议的参考。
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
定义 IKE 第 1 阶段策略身份验证方法。
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
创建 IKE 第 1 阶段网关并定义其外部接口。
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
定义 IKE 第 1 阶段策略参考。
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
定义 IKE 第 1 阶段网关地址。
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
结果
在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
如果完成设备配置,请从配置模式进入。commit
为 Westford 分支配置 IPsec
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为 Westford 分支配置 IPsec:
创建 IPsec 第 2 阶段提议。
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
指定 IPsec 第 2 阶段提议协议。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
指定 IPsec 第 2 阶段提议身份验证算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
指定 IPsec 第 2 阶段提议加密算法。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
创建 IPsec 第 2 阶段策略。
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
指定 IPsec 第 2 阶段提议参考。
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 2。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
指定 IKE 网关。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
指定 IPsec 第 2 阶段策略。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
指定要绑定的接口。
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
结果
在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
如果完成设备配置,请从配置模式进入。commit
为 Westford 分支配置安全性策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为 Westford 分支配置安全策略:
创建安全策略以允许从信任区域到 VPN 区域的流量。
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
创建安全策略以允许从 VPN 区域到信任区域的流量。
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式进入。commit
为 Westford 分支配置 TCP-MSS
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security flow tcp-mss ipsec-vpn mss 1350
分步程序
要为 Westford 分支配置 TCP-MSS:
配置 TCP-MSS 信息。
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
结果
在配置模式下,输入 show security flow 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
如果完成设备配置,请从配置模式进入。commit
配置 Sunnyvale 分支
CLI 快速配置
此示例将 SSG 系列设备用于桑尼维尔分支。为了参考,提供了 SSG 系列设备的配置。有关配置SSG 系列设备的信息,请参阅位于 https://www.juniper.net/documentation 上的。Concepts and Examples ScreenOS Reference Guide
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
验证
要确认配置工作正常,请执行以下任务:
验证 IKE 第 1 阶段状态
目的
验证 IKE 第 1 阶段状态。
行动
开始验证流程之前,需要从 192.168.10/24 网络中的主机向 192.168.168/24 和 192.168.178/24 网络中的主机发送流量,以启动隧道。对于基于路由的 VPN,您可以通过隧道发送从 SRX 系列防火墙发起的流量。建议在测试 IPsec 隧道时,将测试流量从 VPN 一端的单独设备发送到 VPN 另一端的另一台设备。例如,发起从 192.168.10.10 到 192.168.168.10 的 ping。
在操作模式下,输入命令 show security ike security-associations 。从命令获取索引号后,请使用命令 show security ike security-associations index index_number detail 。
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done
意义
该 show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。
如果列出了 SA,请查看以下信息:
索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用
show security ike security-associations index detail该值来获取有关 SA 的更多信息。远程地址 — 验证远程 IP 地址是否正确。
省/州
UP — 第 1 阶段 SA 已建立。
DOWN — 建立第 1 阶段 SA 时出现问题。
模式 — 验证正在使用正确的模式。
验证配置中的以下信息是否正确:
外部接口(接口必须是接收 IKE 数据包的接口)
IKE 策略参数
预共享密钥信息
第 1 阶段提议参数(必须在两个对等方上匹配)
该 show security ike security-associations index 1 detail 命令列出了有关索引号为 1 的安全关联的其他信息:
使用的身份验证和加密算法
第 1 阶段生存期
流量统计(可用于验证流量是否在两个方向上正常流动)
发起方和响应方角色信息
最好使用响应方角色在对等方上执行故障排除。
创建的 IPsec SA 数
正在进行的第 2 阶段协商数
验证 IPsec 第 2 阶段状态
目的
验证 IPsec 第 2 阶段状态。
行动
在操作模式下,输入命令 show security ipsec security-associations 。从命令获取索引号后,请使用命令 show security ipsec security-associations index index_number detail 。
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
意义
命令 show security ipsec security-associations 输出列出以下信息:
ID 号为 16385。将此值用于命令,
show security ipsec security-associations index可获取有关此特定 SA 的更多信息。有一个 IPsec SA 对使用端口 500,表示未实施任何 NAT 遍历。(NAT 遍历使用端口 4500 或其他随机大编号端口。)
两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。28756/unlim 值表示第 2 阶段生存期将在 28756 秒后过期,未指定生存大小,表示没有限制。第 2 阶段生存期可以不同于第 1 阶段生存期,因为在建立 VPN 后,第 2 阶段不依赖于第 1 阶段。
如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。
虚拟系统 (vsys) 是根系统,始终列出 0。
命令 show security ipsec security-associations index 16385 detail 输出列出以下信息:
本地身份和远程身份组成 SA 的代理 ID。
代理 ID 不匹配是导致第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。
第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。
验证下一跳隧道绑定
目的
完成所有对等方的第 2 阶段后,验证下一跃点隧道绑定。
行动
在操作模式下,输入命令 show security ipsec next-hop-tunnels 。
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
意义
下一跃点网关是所有远程分支对等方的 st0 接口的 IP 地址。下一跃点应与正确的 IPsec VPN 名称相关联。如果不存在 NHTB 条目,则中枢设备无法区分哪个 IPsec VPN 与哪个下一跃点相关联。
“标志”字段具有以下值之一:
静态 — NHTB 是在 st0.0 接口配置中手动配置的,如果对等方不是 SRX 系列防火墙,则需要这样做。
自动 - 未配置 NHTB,但在两个 SRX 系列防火墙之间的第 2 阶段协商期间,该条目已自动填充到 NHTB 表中
此示例中,没有针对任何分支站点的 NHTB 表。从分支的角度来看,st0 接口仍然是只有一个 IPsec VPN 绑定的点对点链路。
验证远程对等本地 LAN 的静态路由
目的
验证静态路由是否引用了分支对等方的 st0 IP 地址。
行动
在操作模式下,输入命令 show route 。
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0
user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0
下一跃点是远程对等方的 st0 IP 地址,两个路由都指向 st0.0 作为传出接口。
查看 IPsec 安全性关联的统计信息和错误
目的
查看 IPsec 安全关联的 ESP 和身份验证标头计数器和错误。
行动
在操作模式下,输入命令 show security ipsec statistics index 。
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
您还可以使用该 show security ipsec statistics 命令来查看所有 SA 的统计信息和错误。
要清除所有 IPsec 统计信息,请使用命令 clear security ipsec statistics 。
意义
如果看到 VPN 中有数据包丢失的问题,可以多次运行 show security ipsec statistics or show security ipsec statistics detail 命令以确认加密和解密数据包计数器是否在递增。还应检查其他错误计数器是否也在递增。
测试通过 VPN 的流量
目的
验证通过 VPN 的流量。
行动
您可以使用 SRX 系列防火墙中的命令测试 ping 流向远程主机 PC 的流量。请确保指定源接口,以便路由查找是正确的,并且在策略查找过程中引用相应的安全区域。
在操作模式下,输入命令 ping 。
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
也可以从 SSG 系列设备使用命令 ping 。
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
意义
如果命令在 SRX 系列或 SSG 系列设备上失败,则 ping 可能是路由、安全策略、终端主机或 ESP 数据包的加密和解密存在问题。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
container-string 和
wildcard-string 层次结构中
[edit security ike gateway gateway_name dynamic distinguished-name] 配置一个动态 DN 属性。如果在配置第一个属性之后尝试配置第二个属性,则第一个属性将替换为第二个属性。如果已配置其中一个属性,则必须在升级设备之前移除这两个属性。