Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 概述

VPN 是一种专用网络,可使用公共网络连接两个或两个以上的远程站点。VPN 可使用通过公共网络路由(以隧道方式发送)的虚拟连接,而非网络之间的专用连接。IPsec VPN 是一种协议,由用于建立 VPN 连接的一组标准构成。

VPN 提供一种方法,让远程计算机通过公共 WAN (如互联网)安全地进行通信。

一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。为了在通过 WAN 时保护 VPN 通信,两个参与者创建 IP 安全(IPsec)通道。

术语 隧道 不表示通道模式(请参阅 隧道模式中的数据包处理)。而是指 IPsec 连接。

SRX 系列设备上的 IPsec VPN 拓扑

以下是 Junos 操作系统 (OS) 支持的一些 IPsec VPN 拓扑结构:

  • 站点到站点 VPN — 将组织的两个站点连接在一起,允许站点之间的安全通信。

  • 中心辐式 VPN — 在企业网络中将分支机构办公室连接到企业办公室。您还可以使用此拓扑通过中心发送信息流将分支连接在一起。

  • 远程访问 VPN — 在家办公或正在出差的用户可连接到公司办公室及其资源。此拓扑有时称为端到端 隧道

比较基于策略和基于路由的 Vpn

了解基于策略和基于路由的 Vpn 之间的差异是非常重要的,以及为什么一个人可能更可取。

表 1列出了基于路由的 Vpn 与基于策略的 Vpn 之间的差异。

表 1: 基于路由的 Vpn 与基于策略的 Vpn 之间的差异

基于路由的 Vpn

基于策略的 Vpn

借助基于路由的 Vpn,策略不会专门引用 VPN 通道。

借助基于策略的 VPN 隧道,通道被视为一个与源、目标、应用程序和操作相结合的对象,构成了允许 VPN 流量的隧道策略。

策略将引用目标地址。

在基于策略的 VPN 配置中,通道策略专门按名称引用 VPN 通道。

您创建的基于路由的 VPN 隧道的数量受设备支持的路由条目数或 st0 接口数量的限制,其中的数字越低。

您可以创建的基于策略的 VPN 隧道数量受设备支持的策略数量的限制。

当您希望保留通道资源,同时在 VPN 流量上设置粒度限制时,基于路由的 VPN 隧道配置是一个不错的选择。

借助基于策略的 VPN,尽管您可以创建多个引用同一 VPN 通道的通道策略,但每个通道策略对都会与远程对等方一起创建一个单独的 IPsec 安全关联(SA)。每个 SA 计为一个单独的 VPN 通道。

借助基于路由的 Vpn 方法,信息流的法规并不与其交付方法耦合。您可以配置数十个策略来控制流经两个站点之间的单个 VPN 通道的信息流,并且只有一个 IPsec SA 在工作。此外,基于路由的 VPN 配置允许您创建参考目标通过 VPN 通道到达的策略,其中的操作是 deny。

在基于策略的 VPN 配置中,该操作必须为允许,并且必须包含一个隧道。

基于路由的 Vpn 支持通过 VPN 隧道交换动态路由信息。您可以在绑定到 VPN 通道的 st0 接口上启用动态路由协议的实例,例如 OSPF。

基于策略的 Vpn 中不支持动态路由信息的交换。

基于路由的配置用于辐射型拓扑。

基于策略的 Vpn 不能用于中心辐射型拓扑。

借助基于路由的 Vpn,策略不会专门引用 VPN 通道。

如果通道未连接正在运行动态路由协议的大型网络,并且无需保留隧道或定义各种策略来过滤通过通道的信息流,则基于策略的隧道是最佳选择。

基于路由的 Vpn 不支持远程访问(拨号) VPN 配置。

基于策略的 VPN 隧道是远程访问(拨号) VPN 配置所必需的。

基于路由的 Vpn 可能无法与某些第三方供应商一起正常工作。

如果第三方需要每个远程子网的单独 SAs,则可能需要基于策略的 Vpn。

当安全设备执行路由查找以查找其必须发送信息流以到达地址的接口时,它将通过绑定到特定 VPN 通道的安全通道接口(st0)找到一个路由。

借助基于路由的 VPN 通道,您可以将通道视为传送信息流的方式,并将策略视为允许或拒绝交付该信息流的方法。

借助基于策略的 VPN 通道,您可以在构建策略时将通道视为元素。

基于路由的 Vpn 支持 st0 接口 NAT。

如果通道流量需要 NAT,则不能使用基于策略的 Vpn。

代理 ID 支持基于路由和基于策略的 Vpn。基于路由的隧道还提供使用多个流量选择器,也称为多代理 ID。流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议匹配,则允许通过隧道传输流量。您可以在基于路由的特定 VPN 中定义流量选择器,这会导致多阶段 2 IPsec Sa。仅允许通过 SA 符合流量选择器的流量。如果远程网关设备是非瞻博网络设备,则通常需要流量选择器。

基于策略的 Vpn 仅在 SRX5400、SRX5600 和 SRX5800 设备上受支持。平台支持取决于安装中的 Junos OS 版本。

基于策略的 VPN 与基于路由的 VPN 的对比

表 2 基于策略的 VPN 与基于路由的 VPN 差异总结。

表 2: 基于策略的 VPN 与基于路由的 VPN 的对比

基于策略的 VPN

基于路由的 VPN

在基于策略的 VPN 中,隧道被视为一个对象,该对象与源、目标、应用程序和操作相结合,一同构成允许 VPN 流量的隧道策略。

基于路由的 VPN 策略不会特定引用某个 VPN 隧道。

但隧道策略会按名称来特定引用某个 VPN 隧道。

路由器会根据目标 IP 地址确定通过隧道发送哪些流量。

可创建的基于策略的 VPN 隧道数量受设备可支持的隧道数量限制。

您创建的基于路由的 VPN 隧道数量受 st0 接口数量(对于点对点 VPN)或设备支持的隧道数量所限制(以两个数量中较低的数量为准)。

尽管您可借助基于策略的 VPN 来创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对均会与远程对等方共同创建一个单独的 IPsec SA。每个 SA 均可计为一个单独的 VPN 隧道。

由于路由(而非策略)决定了哪些流量会通过隧道,因此单个 SA 或 VPN 可支持多个策略。

在基于策略的 VPN 中,操作必须是被允许的,并且必须包含一个隧道。

在基于路由的 VPN 中,流量的处理规则不会与其传输方式叠加。

动态路由信息交换在基于策略的 VPN 中不受支持。

基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。

如果需要采用高出路由所能提供的细粒度,才能指定发送到隧道的流量,则使用基于策略且具有安全策略的 VPN 是最佳选择。

基于路由的 VPN 可使用路由来指定发送到隧道的流量;而策略则不会特别引用 VPN 隧道。

借助基于策略的 VPN 隧道技术,您可以在构建策略时将隧道视为一种构成元素。

当安全设备通过路由查找功能,查找将流量发送到某个地址所必须的接口时,它将通过安全通道 (st0) 接口查找路由。

借助基于路由的 VPN 通道,您可以将通道视为传送信息流的方式,并将策略视为允许或拒绝交付该信息流的方法。

了解 IKE 和 IPsec 数据包处理

IPsec VPN 隧道包含隧道设置和应用安全。在隧道设置期间,对等方建立安全关联(Sa),定义用于保护自身之间流量的参数。(请参阅 IPsec 概述 。)隧道建立后,IPsec 将应用由 A 在隧道设置期间定义的安全参数,保护两个隧道端点之间发送的流量。在 Junos OS 实施中,IPsec 在通道模式中应用,后者支持封装式安全措施负载(ESP)和身份验证报头(AH)协议。

本主题包含以下部分:

通道模式中的数据包处理

IPsec 以两种模式之一运行:传输或隧道。当隧道的两端都为主机时,您可以使用任一模式。如果隧道中至少有一个端点为安全网关(如 Junos OS 路由器或防火墙),则必须使用隧道模式。瞻博网络设备始终以隧道模式在 IPsec 隧道上运行。

在隧道模式中,整个原始 IP 数据包(有效负载和报头)封装在另一个 IP 有效负载中,并附加一个新的报头,如 图 1 中所示。整个原始数据包可加密、认证,或两者兼有。可通过认证头 (AH) 协议对 AH 和新报头进行验证。使用封装安全有效负载 (ESP) 协议,还可以对 ESP 报头进行验证。

图 1: 隧道模式隧道模式

在站点到站点 VPN 中,新的报头使用的源地址和目的地址即为出接口的 IP 地址。请参阅 图 2

图 2: 隧道模式中的站点到站点 VPN隧道模式中的站点到站点 VPN

在拨号 VPN 中,隧道 VPN 拨号客户端上没有隧道网关;隧道直接延伸至客户端本身(请参阅 图 3)。在这种情况下,在从拨号客户端发送的数据包上,新标头和封装的原始标头都具有相同的 IP 地址:客户端计算机的端口。

某些 VPN 客户端(如动态 VPN 客户端和 Netscreen-Remote)会使用内部虚拟 IP 地址(也称为"粘性地址")。Netscreen-Remote 允许您定义虚拟 IP 地址。动态 VPN 客户端可使用在 XAuth 配置交换期间分配的虚拟 IP 地址。在此种情况下,内部虚拟 IP 地址即为源 IP 地址,其位于客户端流量的原始包头中,而 ISP 动态分配给拨号客户端的 IP 地址则是外部标头中的源 IP 地址。从 Junos OS 版本 21.4R1 动态 VPN 开始,SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550 HM 设备不受支持。

图 3: 隧道模式中的拨号 VPN隧道模式中的拨号 VPN

跨 SPU 分配 IKE 和 IPsec 会话

在 SRX5400、SRX5600 和 SRX5800 设备中,IKE 可为 IPsec 提供隧道管理并可对终端实体进行身份验证。IKE 可执行 Diffie-Hellman (DH) 密钥交换,以便在网络设备之间生成 IPsec 隧道。IKE 生成的 IPsec 隧道可用于对 IP 层网络设备之间的用户流量进行加密、解密和身份验证。

通过在平台的多个服务处理单元 (SPU) 之间分配 IKE 和 IPsec 工作负载,即可创建 VPN。对于站点到站点隧道,负载最小的 SPU 会被选为锚点 SPU。如果多个 SPU 具有相同的最小负载,则可以将其中任一 SPU 选为锚点 SPU。此处的负载与在 SPU 上锚定的站点到站点网关或手动 VPN 隧道的数量相对应。对于动态隧道,新建立的动态隧道会使用轮询算法选择 SPU。

IPsec 中的工作负载由分发 IKE 的相同算法分配。给定 VPN 隧道终结点对的第 2 阶段 SA 由特定 SPU 专门负责,属于此第 2 阶段 SA 的所有 IPsec 数据包将被转发至该 SA 的锚点 SPU,以便进行 IPsec 处理。

可通过一个或多个 IKE 会话运行多个 IPsec 会话(第 2 阶段 SA)。系统会根据锚定底层 IKE 会话的 SPU 选择锚定 IPsec 会话的 SPU。因此,通过单个 IKE 网关运行的所有 IPsec 会话均由相同的 SPU 提供服务,并且不会在多个 SPU 间均衡负载。

表 3显示了 SRX5000 线路设备的示例,其中三个 spu 在三个 IKE 网关上运行七个 IPsec 隧道。

表 3: 跨 SPU 分配 IKE 和 IPsec 会话

SPU

IKE 网关

IPsec 隧道

SPU0

IKE-1

IPsec-1

IPsec-2

IPsec-3

SPU1

IKE-2

IPsec-4

IPsec-5

IPsec-6

SPU2

IKE-3

IPsec-7

三个 SPU 中的每个 SPU 对 IKE 网关的负载都一样。如果创建了新 IKE 网关,则可以选择 SPU0、SPU1 或 SPU2 来锚定 IKE 网关及其 IPsec 会话。

搭建以及拆除现有 IPsec 隧道不会影响底层 IKE 会话或现有 IPsec 隧道。

使用以下 show 命令查看每个 SPU 的当前隧道数:show security ike tunnel-map

使用此命令的 summary 选项查看每个网关的锚点:show security ike tunnel-map summary.

VPN 支持插入服务处理卡

SRX5400、SRX5600 和 SRX5800 设备具有基于机箱的分布式处理器架构。可基于服务处理卡 (SPC) 的数量对流处理能力进行共享。您可以通过安装新的 SPC 来扩展设备的处理能力。

在 SRX5400、SRX5600 或 SRX5800 机箱群集中,您可以在设备上插入新的 SPC,而不会影响或中断现有 IKE 或 IPsec VPN 隧道上的流量。在群集中的机箱内插入新的 SPC 时,现有隧道不会受到影响,并且流量也将继续发送,不会中断。

从 Junos OS 19.4R1 版本开始,可以在所有 SRX5000 系列设备机箱群集内将新的 SRX5K-SPC3 (SPC3) 或 SRX5K-SPC-4-15-320 (SPC2) 卡插入包含 SPC3 卡的现有机箱中。您只能将卡插在机箱上比现有 SPC3 卡更高的插槽中。插入 SPC3 后,必须重新启动节点才能激活卡。节点重新启动完成后,系统会为卡分配 IPsec 隧道。

但是,现有隧道无法使用新 SPC 服务处理单元 (SPC) 的处理能力。新的 SPU 可锚定新建立的站点到站点的动态隧道。但是无法保证能够在新 SPU 上锚定新配置的隧道。

站点到站点隧道可根据负载均衡算法锚定在不同的 SPU 上。负载均衡算法取决于每个 SPU 使用的流式线程数量。属于相同本地和远程网关 IP 地址的隧道可锚定在与 SPU 使用不同流式 RT 线程的同一 SPU 上。具有最小负载的 SPU 会被选为锚点 SPU。每个 SPU 均会保留此特定 SPU 中托管的流式 RT 线程数。每个 SPU 上托管的流式 RT 线程数取决于 SPU 的类型。

隧道负载因数 = SPU 上锚定的隧道数/SPU 使用的流式 RT 线程总数。

系统可根据轮询算法将动态隧道锚定在不同的 SPU 上。无法保证能够在新 SPC 上锚定新配置的动态隧道。

从 Junos OS 18.2R2 和 18.4R1 版本开始,当 SRX5K-SPC-4-15-320 (SPC2) 和 SPC3 卡已安装且在机箱群集模式或独立模式的设备上运行时,SRX5400、SRX5600 和 SRX5800 设备均将支持目前仅在 SRX5K-SPC3 (SPC3) 上支持的现有 IPsec VPN 功能。

同时安装 SPC2 和 SPC3 卡时,您可以使用 show security ipsec tunnel-distribution 命令验证不同 SPU 上的通道映射。

仅插入 SPC2 卡时,可使用命令 show security ike tunnel-map 查看不同 SPU 上的通道映射。在已安装 SPC2 和 SPC3 卡的环境中,命令 show security ike tunnel-map 无效。

插入 SPC3 卡:准则和限制:

  • 在机箱群集中,如果其中一个节点具有 1 个 SPC3 卡,另一个节点有 2 个 SPC3 卡,则不支持将故障切换至具有 1 个 SPC3 卡的节点。

  • 您必须将 SPC3 或 SPC2 插入现有机箱中的较高插槽中,其位置要高于当前 SPC3 所在的较低插槽。

  • 要使 SPC3 ISHU 正常工作,则必须将新的 SPC3 卡插入编号更高的插槽。

  • 在 SRX5800 机箱群集上,由于配电和热量分布的限制,不得将 SPC3 卡插入最高的插槽(插槽 11)中。

  • 瞻博网络不支持对 SPC3 进行热插拔。

表 4 汇总了带支持或处理 SPC2 或 SPC3 卡的 SRX5000 kmd 系列 iked 设备:

表 4: kmdiked/SRX5000 系列设备的进程支持

SRX5000 系列设备

支持 kmdiked 流程

仅安装有 SPC2 卡的 SRX5000 系列设备

支持 kmd 进程。

仅安装有 SPC3 卡的 SRX5000 系列设备

支持 iked 进程。

安装有 SPC2 和 SPC3 卡的 SRX5000 系列设备

支持 iked 进程。

启用 SRX5K-SPC3 服务处理卡上的 IPsec VPN 功能集

使用 SRX5K-SPC3 卡的 SRX5000 系列设备需要安装软件包并启用任何 junos-ike IPsec VPN 功能。默认情况下,软件包安装在 junos-ike Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中,用于带 RE3 的 SRX5000 系列设备。因此,默认情况下,进程在路由引擎上运行,而不是 ikedikemd IPsec 密钥管理守护程序 (kmd)。

如果您希望使用进程在 kmd 没有 SPC3 卡的 SRX5000 系列设备上启用 IPsec VPN 功能,则必须运行 request system software delete junos-ike 命令。运行 命令后,必须重新启动设备。

要检查已安装junos-ike的软件包,请使用以下命令:

使用 SRX5K-SPC3 和带新软件包的 vSRX 实例的 SRX5000 系列设备的 IPsec VPN 功能支持

本主题为您提供 IPsec VPN 功能和配置的摘要,这些功能和配置受带 SPC3 和 vSRX 实例的 SRX5000 系列设备支持。

IPsec VPN 功能由两个进程以及 ikedikemd SRX5K-SPC3 和 vSRX支持。和 的 iked 单个 ikemd 实例将一次路由引擎运行。

默认情况下,软件包安装在 Junos OS 版本 Junos-ike 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中,适用于具有 RE3 的 SRX5000 系列设备,并且 和 进程都运行在路由引擎上 ikedikemd

ikemd 重新启动日常引擎中的进程,请使用 restart ike-config-management 命令。

iked 重新启动 路由引擎 请使用 restart ike-key-management 命令。

如果您希望使用进程在 kmd 没有 SPC3 卡的 SRX5000 系列设备上启用 IPsec VPN 功能,则必须运行 request system software delete junos-ike 命令。运行 命令后,必须重新启动设备。

不支持 IPsec VPN 功能

要确定特定平台或 Junos OS 版本是否支持某个功能,请参阅功能浏览器

表 5 汇总了 SRX 系列设备和运行 iked 进程vSRX支持的 IPsec VPN 功能: 。

表 5: SRX 系列设备和虚拟实例不支持 IPsec VPN vSRX功能

功能

支持带 SRX5K-SPC3 和多实例的 SRX 5000 vSRX系列设备

自动发现 VPN (ADVPN)。

AutoVPN 协议无关多播(PIM)点对多点模式。

在 IPsec VPN 上配置转发类。

不工作对等方检测 (DPD) 网关故障切换。

本版本不支持 DPD 网关vSRX。

组 VPN。

IKE SA 的生存期,以 kb 为单位。

IPsec datapath 验证的数据包大小配置。

基于策略的 IPsec VPN。

VPN 监控。

IPsec VPN 隧道上的路由协议支持

我们支持在 SRX 系列设备和 MX 系列路由器上运行或处理 OSPF、BGP、PIM、RIP 和 BFD 等路由协议,以在 IPsec 隧道上运行。 kmdiked 协议支持取决于 IP 寻址方案或 st0 接口类型、点到点 (P2P) 或点对多点 (P2MP)。

表 6 汇总OSPF SRX 系列设备和 MX 路由器上的协议支持。

表 6: OSPF IPsec VPN 隧道上的协议支持
OSPF
外设 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100,SRX110, SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式(SPC3 + SPC2)中的 SRX5K
vSRX 3.0
MX-SPC3

表 7 汇总了 SRX 系列设备和 MX 路由器上的 OSPFv3 协议支持。

表 7: IPsec VPN 隧道上的 OSPFv3 协议支持
OSPFv3
外设 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100,SRX110, SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式(SPC3 + SPC2)中的 SRX5K
vSRX 3.0
MX-SPC3

表 8 汇总BGP SRX 系列设备和 MX 路由器上的协议支持。

表 8: BGP IPsec VPN 隧道上的协议支持
BGP
外设 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100,SRX110, SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式(SPC3 + SPC2)中的 SRX5K
vSRX 3.0
MX-SPC3

表 9 汇总了 SRX 系列设备和 MX 路由器上的 PIM 协议支持。

表 9: IPsec VPN 隧道上的 PIM 协议支持
PIM
外设 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX550 HM、SRX650、SRX1400、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX1500
SRX5K-SPC3
混合模式(SPC3 + SPC2)中的 SRX5K
vSRX 3.0
注:

不支持多线程。

MX-SPC3

表 10 汇总了 SRX 系列设备和 MX 路由器上的 RIP 协议支持。

表 10: IPsec VPN 隧道上的 RIP 协议支持
RIP
外设 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100,SRX110, SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式(SPC3 + SPC2)中的 SRX5K
vSRX 3.0
MX-SPC3

表 11 汇总了 SRX 系列设备和 MX 路由器上的 BFP 协议支持。

表 11: IPsec VPN 隧道上的 BFD 协议支持
BFD
外设 P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100,SRX110, SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2
SRX5K-SPC3
混合模式(SPC3 + SPC2)中的 SRX5K
vSRX 3.0
MX-SPC3

反重播窗口

在 SRX 系列设备上anti-replay-window ,默认情况下启用窗口大小值为64。

在安装有 SPC3 卡的 SRX 系列5000系列设备上,您可以配置 64 anti-replay-window到8192(2的幂)范围内的大小。要配置窗口大小,请使用 new anti-replay-window-size选项。传入数据包根据配置的重放攻击anti-replay-window-size进行验证。

您可以在replay-window-size两个不同的级别配置:

  • Global level— 在 [ edit security ipsec ] 层次结构级别中配置。

    例如:

  • VPN object— 在 [ edit security ipsec vpn vpn-name ike ] 层次结构级别中配置。

    例如:

如果在两个级别上都配置了反重播,则为 VPN 对象级别配置的窗口大小优先于在全局级别配置的窗口大小。如果未配置反重播,默认情况下窗口大小为64。

要禁用 VPN 对象上的 "消除重播窗口" 选项,请使用set no-anti-replay [edit security ipsec vpn vpn-name ike] 层次结构级别的命令。您不能在全局级别禁用反重播。

您不能同时anti-replay-window-sizeno-anti-replay VPN 对象上配置和。

了解中心辐射型 VPN

如果创建两个可在设备上终止的 VPN 隧道,则可以设置一对路由,以便此设备能够在一个隧道退出时,将其流量引导至另一个隧道。您还需要创建相应的策略,以允许流量从一个隧道传递到另一个隧道。采用此部署方式的 VPN 称为中心辐射型 VPN。(请参阅 图 4。)

您还可以配置多个 VPN 并在任意两个隧道之间路由流量。

SRX 系列设备仅支持基于路由的中心辐射型网络拓扑功能。

图 4: 中心辐射型 VPN 配置中的多个隧道中心辐射型 VPN 配置中的多个隧道
发布历史记录表
版本
说明
20.1R2
默认情况下,软件包安装在 junos-ike Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中,用于带 RE3 的 SRX5000 系列设备。因此,默认情况下,进程在路由引擎上运行,而不是 ikedikemd IPsec 密钥管理守护程序 (kmd)。