Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 概述

VPN 是使用公共网络连接两个或两个以上远程站点的专用网络。VPN 不是在网络之间使用专用连接,而是使用通过公共网络路由(隧道)的虚拟连接。IPsec VPN 是一种协议,由一组用于建立 VPN 连接的标准组成。

VPN 提供了一种让远程计算机在公共 WAN(如互联网)上安全通信的方法。

VPN 连接可以链接两个 LAN(站点到站点 VPN)或一个远程拨号用户和一个 LAN。在这两点之间流动的流量通过共享资源,如路由器、交换机和其他构成公共 WAN 的网络设备。为了在通过 WAN 时保护 VPN 通信的安全,两个参与方会创建一个 IP 安全 (IPsec) 隧道。

术语 通道 不表示隧道模式(请参阅 隧道模式中的数据包处理)。相反,它指的是 IPsec 连接。

SRX 系列设备上的 IPsec VPN 拓扑结构

以下是 Junos 操作系统 (OS) 支持的一些 IPsec VPN 拓扑结构:

  • 站点到站点 VPN — 将组织中的两个站点连接在一起,并允许站点之间的安全通信。

  • 中心辐射型 VPN — 将分支机构连接到企业网络中的公司办公室。您也可使用此拓扑结构通过中枢发送流量,将辐射连接在一起。

  • 远程访问 VPN — 允许在家工作或出差的用户连接到公司办公室及其资源。这种拓扑有时被称为 end-to-site tunnel

比较基于策略和基于路由的 VPN

了解基于策略的 VPN 和基于路由的 VPN 之间的差异,以及为什么一个 VPN 可能比另一个 VPN 更可取,这一点非常重要。

表 1 列出了基于路由的 VPN 和基于策略的 VPN 之间的差异。

表 1: 基于路由的 VPN 和基于策略的 VPN 之间的差异

基于路由的 VPN

基于策略的 VPN

借助基于路由的 VPN,策略不会特别引用 VPN 隧道。

通过基于策略的 VPN 隧道,隧道被视为一个对象,该对象与源、目标、应用程序和操作一起构成允许 VPN 流量的隧道策略。

该策略引用目标地址。

在基于策略的 VPN 配置中,隧道策略会按名称具体引用 VPN 隧道。

您创建的基于路由的 VPN 隧道数量受路由条目数量或设备支持的 st0 接口数量的限制,以较低编号为准。

您可以创建的基于策略的 VPN 隧道数量受设备支持的策略数量的限制。

如果您想要在保留隧道资源的同时对 VPN 流量设置细粒度限制,基于路由的 VPN 隧道配置是不错的选择。

尽管您可以使用基于策略的 VPN 创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对都会与远程对等方创建一个单独的 IPsec 安全关联 (SA)。每个 SA 都计为单个 VPN 隧道。

借助基于路由的 VPN 方法,流量的监管不会与其交付方式相结合。您可以配置数十个策略来调节通过两个站点之间的单个 VPN 隧道的流量,并且只有一个 IPsec SA 在运行。此外,基于路由的 VPN 配置允许您创建策略,引用通过拒绝操作的 VPN 隧道到达的目标。

在基于策略的 VPN 配置中,操作必须是允许的,并且必须包括隧道。

基于路由的 VPN 支持通过 VPN 隧道交换动态路由信息。您可以在绑定 VPN 隧道的 st0 接口上启用动态路由协议的实例,例如 OSPF。

基于策略的 VPN 不支持交换动态路由信息。

基于路由的配置用于中心辐射型拓扑。

基于策略的 VPN 不能用于中心辐射型拓扑。

借助基于路由的 VPN,策略不会特别引用 VPN 隧道。

如果隧道无法连接运行动态路由协议的大型网络,并且不需要保留隧道或定义各种策略来过滤隧道中的流量,则基于策略的隧道是最佳选择。

基于路由的 VPN 不支持远程访问(拨号)VPN 配置。

远程访问(拨号)VPN 配置需要基于策略的 VPN 隧道。

基于路由的 VPN 可能无法与一些第三方供应商正确配合使用。

如果第三方为每个远程子网需要单独的 SA,则可能需要基于策略的 VPN。

当安全设备执行路由查找以查找必须发送信息流到达某个地址的接口时,会通过与特定 VPN 隧道绑定的安全隧道接口 (st0) 查找路由。

借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方法,并可将该策略视为允许或拒绝传输该流量的方法。

借助基于策略的 VPN 隧道,您可以将隧道视为策略构建中的一个元素。

基于路由的 VPN 支持 st0 接口的 NAT。

如果隧道流量需要 NAT,则无法使用基于策略的 VPN。

基于路由和基于策略的 VPN 均支持代理 ID。基于路由的隧道还提供多个流量选择器(也称为多代理 ID)的使用。如果流量与指定的本地和远程 IP 地址前缀对、源端口范围、目标端口范围和协议匹配,则信息流选择器是 IKE 对等方之间的协议,允许流量通过隧道。您可在基于特定路由的 VPN 中定义流量选择器,这可能导致多个第 2 阶段 IPsec SA。只有符合信息流选择器的信息流才能通过 SA 来允许。在远程网关设备为非瞻博网络设备时,通常需要流量选择器。

仅 SRX5400、SRX5600 和 SRX5800 设备支持基于策略的 VPN。平台支持取决于安装中的 Junos OS 版本。

基于策略的 VPN 和基于路由的 VPN 的比较

表 2 汇总了基于策略的 VPN 和基于路由的 VPN 之间的差异。

表 2: 基于策略的 VPN 与基于路由的 VPN 之间的比较

基于策略的 VPN

基于路由的 VPN

在基于策略的 VPN 中,隧道被视为一个对象,该对象与源、目标、应用程序和操作一起构成允许 VPN 流量的隧道策略。

在基于路由的 VPN 中,策略不会特别引用 VPN 隧道。

隧道策略会按名称具体引用 VPN 隧道。

路由根据目标 IP 地址确定通过隧道发送哪些信息流。

您可以创建的基于策略的 VPN 隧道数量受设备支持的隧道数量的限制。

您创建的基于路由的 VPN 隧道数量受 st0 接口数量(对于点对点 VPN)或设备支持的隧道数量(以较低者为准)的限制。

尽管您可以使用基于策略的 VPN 创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对都会与远程对等方一起创建一个单独的 IPsec SA。每个 SA 都计为单个 VPN 隧道。

由于路由(而非策略)决定哪些流量通过隧道,因此单个 SA 或 VPN 可支持多个策略。

在基于策略的 VPN 中,操作必须是允许的,并且必须包含一个隧道。

在基于路由的 VPN 中,流量的调节不会与其交付方式配合使用。

基于策略的 VPN 不支持交换动态路由信息。

基于路由的 VPN 支持通过 VPN 隧道交换动态路由信息。您可以在绑定 VPN 隧道的 st0 接口上启用动态路由协议的实例,例如 OSPF。

如果您需要的粒度比路由为指定发送到隧道的流量提供更精细,则使用具有安全策略的基于策略的 VPN 是最佳选择。

基于路由的 VPN 使用路由指定发送到隧道的信息流;策略不会特别引用 VPN 隧道。

借助基于策略的 VPN 隧道,您可以将隧道视为策略构建中的一个元素。

当安全设备执行路由查找以查找必须发送信息流到达某个地址的接口时,将通过安全通道 (st0) 接口查找路由。

借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方法,并可将该策略视为允许或拒绝传输该流量的方法。

了解 IKE 和 IPsec 数据包处理

IPsec VPN 隧道由隧道设置和应用安全性组成。在隧道设置期间,对等方会建立安全关联 (SA),定义了保护自身间流量的参数。(请参阅 IPsec 概述。)建立隧道后,IPsec 会应用 SA 在隧道设置期间定义的安全参数,从而保护两个隧道端点之间发送的流量。在 Junos OS 实施中,IPsec 应用于隧道模式,该模式支持封装安全有效负载 (ESP) 和身份验证头 (AH) 协议。

本主题包括以下部分:

隧道模式下的数据包处理

IPsec 以传输或隧道两种模式之一运行。如果隧道的两端都是主机,则可以使用任一模式。如果隧道中至少有一个端点是安全网关,例如 Junos OS 路由器或防火墙,则必须使用隧道模式。瞻博网络设备始终在 IPsec 隧道的隧道模式下运行。

在隧道模式下,整个原始 IP 数据包(有效负载和报头)封装在另一个 IP 有效负载中,并附加一个新的报头,如 中 图 1所示。整个原始数据包都可以进行加密、身份验证,也可以同时对两者进行加密。使用认证头 (AH) 协议,AH 和新报头也将进行身份验证。使用封装安全有效负载 (ESP) 协议,还可以对 ESP 报头进行身份验证。

图 1: 隧道模式隧道模式

在站点到站点 VPN 中,新标头中使用的源地址和目标地址是传出接口的 IP 地址。请参阅 图 2

图 2: 隧道模式下的站点到站点 VPN隧道模式下的站点到站点 VPN

在拨号 VPN 中,隧道的 VPN 拨号客户端上没有隧道网关;隧道直接延伸至客户端本身(请参阅 图 3)。在这种情况下,在从拨号客户端发送的数据包中,新报头和封装的原始报头具有相同的 IP 地址:客户端的计算机

一些 VPN 客户端(如 动态 VPN 客户端和 Netscreen-Remote)使用虚拟内部 IP 地址(也称为“粘性地址”)。Netscreen-Remote 使您能够定义虚拟 IP 地址。动态 VPN 客户端使用在 XAuth 配置交换期间分配的虚拟 IP 地址。在这种情况下,虚拟内部 IP 地址是源 IP 地址位于源自客户端的信息流的原始数据包标头中,而 ISP 动态分配拨号客户端的 IP 地址是外部标头中的源 IP 地址。从 Junos OS 版本 21.4R1 动态 VPN 开始,SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550 HM 设备不受支持。

图 3: 隧道模式下的拨号 VPN隧道模式下的拨号 VPN

跨 SPU 分配 IKE 和 IPsec 会话

在 SRX5400、SRX5600 和 SRX5800 设备中,IKE 为 IPsec 提供隧道管理并验证终端实体。IKE 执行 Diffie-Hellman (DH) 密钥交换,以便在网络设备之间生成 IPsec 隧道。IKE 生成的 IPsec 隧道用于对 IP 层网络设备之间的用户流量进行加密、解密和身份验证。

VPN 的创建方式是通过在平台的多个服务处理单元 (SPU) 之间分配 IKE 和 IPsec 工作负载来创建。对于站点到站点隧道,负载最小的 SPU 选择为锚点 SPU。如果多个 SPU 具有相同的最小负载,则其中任何一个可选择为锚点 SPU。此处,负载对应于锚定在 SPU 上的站点到站点网关或手动 VPN 隧道的数量。对于动态隧道,新建立的动态隧道采用轮询算法来选择 SPU。

在 IPsec 中,工作负载由分发 IKE 的相同算法分配。给定 VPN 隧道端点对的第 2 阶段 SA 完全归特定 SPU 所有,属于此第 2 阶段 SA 的所有 IPsec 数据包将转发至该 SA 的锚点 SPU 进行 IPsec 处理。

多个 IPsec 会话(第 2 阶段 SA)可通过一个或多个 IKE 会话运行。选择锚定 IPsec 会话的 SPU 基于锚定底层 IKE 会话的 SPU。因此,通过单个 IKE 网关运行的所有 IPsec 会话均由同一 SPU 提供服务,并且不会跨多个 SPU 进行负载均衡。

表 3 显示了一个 SRX5000 系列设备的示例,该设备有三个 SPU 在三个 IKE 网关上运行了七个 IPsec 隧道。

表 3: 跨 SPU 分配 IKE 和 IPsec 会话

SPU

IKE 网关

IPsec 隧道

SPU0

IKE-1

IPsec-1

IPsec-2

IPsec-3

SPU1

IKE-2

IPsec-4

IPsec-5

IPsec-6

SPU2

IKE-3

IPsec-7

三个 SPU 各有一个 IKE 网关的同等负载。如果创建了新的 IKE 网关,则可以选择 SPU0、SPU1 或 SPU2 来锚定 IKE 网关及其 IPsec 会话。

设置和拆除现有 IPsec 隧道不会影响底层 IKE 会话或现有 IPsec 隧道。

使用以下 show 命令查看每个 SPU 的当前隧道计数:show security ike tunnel-map.

summary使用 命令选项查看每个网关的锚点:show security ike tunnel-map summary.

插入服务处理卡的 VPN 支持

SRX5400、SRX5600 和 SRX5800 设备具有基于机箱的分布式处理器架构。流处理能力是共享的,并基于服务处理卡 (SPC) 的数量。您可通过安装新 SPC 来扩展设备的处理能力。

在 SRX5400、SRX5600 或 SRX5800 机箱群集中,您可以在设备上插入新的 SPC,而不会影响或中断现有 IKE 或 IPsec VPN 隧道上的流量。在集群的每个机箱中插入新 SPC 时,现有隧道不会受到影响,流量将继续流动,不会中断。

从 Junos OS 版本 19.4R1 开始,在所有 SRX5000 系列设备机箱群集上,您可以将新的 SRX5K-SPC3 (SPC3) 或 SRX5K-SPC-4-15-320 (SPC2) 卡插入包含 SPC3 卡的现有机箱中。您只能将卡插入机箱上比现有 SPC3 卡更高的插槽中。插入 SPC3 之后,必须重新启动节点才能激活卡。节点重新启动完成后,IPsec 隧道将分发到卡。

但是,现有隧道不能使用新 SPC 中服务处理单元 (SPU) 的处理能力。新的 SPU 可以锚定新建立的站点到站点和动态隧道。但是,无法保证在新 SPU 上锚定新配置的隧道。

站点到站点隧道基于负载平衡算法锚定在不同的 SPU 上。负载平衡算法取决于每个 SPU 使用的流线数。属于相同本地和远程网关 IP 地址的隧道锚定在同一 SPU 上,位于 SPU 使用的不同流 RT 线程上。负载最小的 SPU 会被选为锚点 SPU。每个 SPU 都会维护托管在该特定 SPU 中的流式 RT 线程数。每个 SPU 上托管的流式 RT 线程数因 SPU 类型而异。

隧道负载因素 = 锚定在 SPU 上的隧道数 / SPU 使用的流 RT 线程总数。

动态隧道基于轮询算法锚定在不同的 SPU 上。无法保证在新 SPC 上锚定新配置的动态隧道。

从 Junos OS 18.2R2 和 18.4R1 版开始,SRX5K-SPC3 (SPC3) 上当前支持的所有现有 IPsec VPN 功能仅在 SRX5400 上受支持, SRX5600 和 SRX5800 设备在机箱集群模式或独立模式下,当 SRX5K-SPC-4-15-320 (SPC2) 和 SPC3 卡在设备上安装和运行时。

安装 SPC2 和 SPC3 卡时,可以使用 show security ipsec tunnel-distribution 命令验证不同 SPU 上的隧道映射。

使用 命令 show security ike tunnel-map 查看插入仅插入 SPC2 卡的不同 SPU 上的隧道映射。show security ike tunnel-map命令在安装 SPC2 和 SPC3 卡的环境中无效。

插入 SPC3 卡:准则和限制:

  • 在机箱集群中,如果其中一个节点有 1 个 SPC3 卡,另一个节点有 2 个 SPC3 卡,则不支持故障切换到具有 1 个 SPC3 卡的节点。

  • 您必须将 SPC3 或 SPC2 插入现有机箱中的较高插槽中,而不是当前 SPC3 位于较低插槽中。

  • 要使 SPC3 ISHU 正常工作,必须将新 SPC3 卡插入更高插槽编号。

  • 在 SRX5800 机箱群集上,由于配电和散热限制,不得将 SPC3 卡插入最高的插槽(插槽 11 号)中。

  • 我们不支持 SPC3 热卸下。

表 4 汇总了具有支持 kmdiked 处理的 SPC2 或 SPC3 卡的 SRX5000 系列设备:

表 4: kmd/iked SRX5000 系列设备上的进程支持

SRX5000 系列设备

支持 kmdiked 流程

仅安装 SPC2 卡的 SRX5000 系列设备

支持 kmd 流程。

仅安装 SPC3 卡的 SRX5000 系列设备

支持 iked 流程。

安装有 SPC2 和 SPC3 卡的 SRX5000 系列设备

支持 iked 流程。

启用 SRX5K-SPC3 服务处理卡上的 IPsec VPN 功能集

带有 SRX5K-SPC3 卡的 SRX5000 系列设备需要 junos-ike 安装软件包并启用任何 IPsec VPN 功能。默认情况下, junos-ike 软件包安装在具有 RE3 的 SRX5000 系列设备的 Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中。因此 ikedikemd 进程默认在路由引擎上运行,而不是 IPsec 密钥管理守护程序 (kmd)。

如果您想使用 kmd 进程在没有 SPC3 卡的 SRX5000 系列设备上启用 IPsec VPN 功能,则必须运行 request system software delete junos-ike 命令。运行命令后,必须重新启动设备。

要检查已安装 junos-ike 的软件包,请使用以下命令:

采用新包的 SRX5K-SPC3 和 vSRX 实例的 SRX5000 系列设备上的 IPsec VPN 功能支持

本主题将向您汇总带 SPC3 和 vSRX 实例的 SRX5000 系列设备不支持的 IPsec VPN 功能和配置。

IPsec VPN 功能由两个进程 iked 以及 ikemd SRX5K-SPC3 和 vSRX 实例支持。一次在路由引擎上运行的单个实例ikedikemd

默认情况下,Junos-ike软件包安装在具有 RE3 的 SRX5000 系列设备的 Junos OS 20.1R2、20.2R2、20.3R2、20.3R2、20.4R1 和更高版本中,并且该和ikemd进程都在iked路由引擎上运行。

要在路由引擎中重新启动 ikemd 进程, restart ike-config-management 请使用 命令。

要在路由引擎中重新启动 iked 进程,请使用 命令 restart ike-key-management

如果您想使用 kmd 进程在没有 SPC3 卡的 SRX5000 系列设备上启用 IPsec VPN 功能,则必须运行 request system software delete junos-ike 命令。运行命令后,必须重新启动设备。

不支持 IPsec VPN 功能

要确定某个功能是否受特定平台或 Junos OS 版本支持,请参阅 功能探索器

表 5 汇总了运行 iked 进程的 SRX 系列设备和 vSRX 上的不支持的 IPsec VPN 功能:

表 5: SRX 系列设备和 vSRX 实例不支持 IPsec VPN 功能

功能

支持带 SRX5K-SPC3 和 vSRX 实例的 SRX5000 系列设备

自动发现 VPN (ADVPN)。

AutoVPN 协议无关组播 (PIM) 点对多点模式。

在 IPsec VPN 上配置转发类。

不工作对等方检测 (DPD) 网关故障转移。

vSRX 不支持 DPD 网关故障切换。

组 VPN。

IKE SA 的生存期(以千字节为中)。

用于 IPsec 数据路径验证的数据包大小配置。

基于策略的 IPsec VPN。

VPN 监控。

IPsec VPN 隧道上的路由协议支持

我们支持 OSPF、BGP、PIM、RIP 和 BFD 等路由协议,以便在 SRX 系列设备和运行 kmdiked 进程的 MX 系列路由器的 IPsec 隧道上运行。协议支持取决于 IP 寻址方案或 st0 接口、点对点 (P2P) 或点对多点 (P2MP) 的类型。

表 6 汇总了 SRX 系列设备和 MX 路由器上的 OSPF 协议支持。

表 6: IPsec VPN 隧道上的 OSPF 协议支持
OSPF
设备 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、 SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式中的 SRX5K (SPC3 + SPC2)
vSRX 3.0
MX-SPC3

表 7 汇总了 SRX 系列设备和 MX 路由器上的 OSPFv3 协议支持。

表 7: IPsec VPN 隧道上的 OSPFv3 协议支持
OSPFv3
设备 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、 SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式中的 SRX5K (SPC3 + SPC2)
vSRX 3.0
MX-SPC3

表 8 汇总了 SRX 系列设备和 MX 路由器上的 BGP 协议支持。

表 8: IPsec VPN 隧道上的 BGP 协议支持
BGP
设备 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、 SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式中的 SRX5K (SPC3 + SPC2)
vSRX 3.0
MX-SPC3

表 9 汇总了 SRX 系列设备和 MX 路由器上的 PIM 协议支持。

表 9: IPsec VPN 隧道上的 PIM 协议支持
PIM
设备 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、 SRX210、SRX220、SRX240、SRX550、SRX550 HM、SRX650、SRX1400、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX1500
SRX5K-SPC3
混合模式中的 SRX5K (SPC3 + SPC2)
vSRX 3.0
注:

不支持多读。

MX-SPC3

表 10 汇总了 SRX 系列设备和 MX 路由器上的 RIP 协议支持。

表 10: IPsec VPN 隧道上的 RIP 协议支持
RIP
设备 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、 SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式中的 SRX5K (SPC3 + SPC2)
vSRX 3.0
MX-SPC3

表 11 汇总了 SRX 系列设备和 MX 路由器上的 BFP 协议支持。

表 11: IPsec VPN 隧道上的 BFD 协议支持
BFD
设备 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、 SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式中的 SRX5K (SPC3 + SPC2)
vSRX 3.0
MX-SPC3

反重放窗口

在 SRX 系列设备上, anti-replay-window 默认启用,窗口大小值为 64。

在安装有 SPC3 卡的 SRX 系列 5000 系列设备上,您可以配置 anti-replay-window 范围为 64 到 8192(功率为 2)的大小。要配置窗口大小,请使用新 anti-replay-window-size 选项。传入数据包已根据 anti-replay-window-size 配置的数据包进行重放攻击验证。

您可以在两个不同级别进行 replay-window-size 配置:

  • Global level—在 [edit security ipsec] 层次结构级别配置。

    例如:

  • VPN object—在 [edit security ipsec vpn vpn-name ike] 层次结构级别配置。

    例如:

如果在两个级别上配置了反重放,则为 VPN 对象级别配置的窗口大小优先于全局配置的窗口大小。如果未配置反重放,则默认情况下窗口大小为 64。

要禁用 VPN 对象上的反重放窗口选项,请在 [edit security ipsec vpn vpn-name ike] 层次结构级别使用 set no-anti-replay 命令。您无法在全球层面禁用反重播。

不能同时anti-replay-window-sizeno-anti-replay在 VPN 对象上配置。

了解中心辐射型 VPN

如果创建在设备上终止的两个 VPN 隧道,则可以设置一对路由,以便设备将从一个隧道退出的信息流引导到另一个隧道。您还需要创建一个策略来允许流量从一个隧道传递到另一个隧道。这种安排被称为 中心辐射型 VPN。(请参阅 图 4。)

您还可以配置多个 VPN 并在任意两个隧道之间路由流量。

SRX 系列设备仅支持基于路由的中心辐射型功能。

图 4: 中心辐射型 VPN 配置中的多隧道中心辐射型 VPN 配置中的多隧道
发布历史记录表
版本
说明
20.1R2
默认情况下, junos-ike 软件包安装在具有 RE3 的 SRX5000 系列设备的 Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中。因此 ikedikemd 进程默认在路由引擎上运行,而不是 IPsec 密钥管理守护程序 (kmd)。