IPsec VPN 概述
VPN 是一种专用网络,可使用公共网络连接两个或两个以上的远程站点。VPN 可使用通过公共网络路由(以隧道方式发送)的虚拟连接,而非网络之间的专用连接。IPsec VPN 是一项协议,由建立 VPN 连接的一组标准构成。
VPN 可提供一种方法,让远程计算机通过公共 WAN(如互联网)安全地进行通信。
一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。为了在通过 WAN 时对 VPN 通信进行保护,两个参与方会创建一个 IP 安全 (IPsec) 隧道。
术语“隧道”并不表示隧道模式(请参阅隧道模式下的数据包处理)。而是指 IPsec 连接。
SRX 系列防火墙上的 IPsec VPN 拓扑结构
以下是 Junos 操作系统 (OS) 支持的一些 IPsec VPN 拓扑结构:
站点到站点 VPN — 将组织中的两个站点连接在一起,并允许站点之间的安全通信。
中心辐射型 VPN — 在企业网络中将分支机构办公室连接到公司办公室。您还可以使用此拓扑结构通过中枢站点发送流量,从而将分支站点连接在一起。
远程访问 VPN - 允许在家工作或出差的用户连接到公司办公室及其资源。此拓扑有时称为 .end-to-site tunnel
另请参阅
比较基于策略和基于路由的 VPN
重要的是要了解基于策略的 VPN 和基于路由的 VPN 之间的差异,以及为什么一个可能优于另一个。
表 1 列出了基于路由的 VPN 和基于策略的 VPN 之间的差异。
|
基于路由的 VPN |
基于策略的 VPN |
|---|---|
|
对于基于路由的 VPN,策略不会专门引用 VPN 隧道。 |
对于基于策略的 VPN 隧道,隧道被视为一个对象,该对象与源、目标、应用程序和操作一起构成允许 VPN 流量的隧道策略。 |
|
策略引用目标地址。 |
在基于策略的 VPN 配置中,隧道策略会按名称专门引用 VPN 隧道。 |
|
您创建的基于路由的 VPN 隧道数量受路由条目数量或设备支持的 st0 接口数量(以较低者为准)的限制。 |
您可以创建的基于策略的 VPN 隧道数量受设备支持的策略数量限制。 |
|
当您想要在节省隧道资源的同时对 VPN 流量设置精细限制时,基于路由的 VPN 隧道配置是一个不错的选择。 |
使用基于策略的 VPN,尽管您可以创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对都会与远程对等方创建单独的 IPsec 安全关联 (SA)。每个 SA 均可计为一个单独的 VPN 隧道。 |
|
使用基于路由的 VPN 方法时,流量的调节不会与其传输方式耦合。您可以配置数十个策略来调节通过两个站点之间的单个 VPN 隧道的流量,并且只有一个 IPsec SA 在工作。此外,基于路由的 VPN 配置允许您创建策略,引用通过 VPN 隧道到达的目标,其中操作被拒绝。 |
在基于策略的 VPN 配置中,操作必须是允许的,并且必须包含隧道。 |
|
基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。 |
动态路由信息交换在基于策略的 VPN 中不受支持。 |
|
基于路由的配置用于中心辐射型拓扑。 |
基于策略的 VPN 不能用于中心辐射型拓扑。 |
|
对于基于路由的 VPN,策略不会专门引用 VPN 隧道。 |
如果隧道无法连接运行动态路由协议的大型网络,并且您不需要保留隧道或定义各种策略来过滤通过隧道的流量,则基于策略的隧道是最佳选择。 |
|
基于路由的 VPN 不支持远程访问(拨号)VPN 配置。 |
远程访问(拨号)VPN 配置需要基于策略的 VPN 隧道。 |
|
基于路由的 VPN 可能无法在某些第三方供应商处正常工作。 |
如果第三方要求每个远程子网使用单独的 SA,则可能需要基于策略的 VPN。 |
|
当安全设备执行路由查找以查找必须通过该接口发送流量才能到达某个地址时,它会通过绑定到特定 VPN 隧道的安全隧道接口 () 查找路由。 借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,并将策略视为允许或拒绝传输此流量的方法。 |
借助基于策略的 VPN 隧道技术,您可以在构建策略时将隧道视为一种构成元素。 |
|
基于路由的 VPN 支持 st0 接口的 NAT。 |
如果隧道流量需要 NAT,则无法使用基于策略的 VPN。 |
基于路由和基于策略的 VPN 都支持代理 ID。基于路由的隧道还提供使用多个流量选择器,也称为多代理 ID。流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议对匹配,则允许流量通过隧道。您可以在基于路由的特定 VPN 中定义流量选择器,这可能会导致多个第 2 阶段 IPsec SA。仅允许符合流量选择器的流量通过 SA。当远程网关设备是非瞻博网络设备时,通常需要流量选择器。
基于策略的 VPN 仅在SRX5400、SRX5600和SRX5800线路上受支持。平台是否支持取决于设备安装的 Junos OS 版本。
另请参阅
基于策略的 VPN 与基于路由的 VPN 的对比
表 2 基于策略的 VPN 与基于路由的 VPN 差异总结。
基于策略的 VPN |
基于路由的 VPN |
|---|---|
在基于策略的 VPN 中,隧道被视为一个对象,该对象与源、目标、应用程序和操作相结合,一同构成允许 VPN 流量的隧道策略。 |
基于路由的 VPN 策略不会特定引用某个 VPN 隧道。 |
但隧道策略会按名称来特定引用某个 VPN 隧道。 |
路由器会根据目标 IP 地址确定通过隧道发送哪些流量。 |
可创建的基于策略的 VPN 隧道数量受设备可支持的隧道数量限制。 |
您创建的基于路由的 VPN 隧道数量受 st0 接口数量(对于点对点 VPN)或设备支持的隧道数量所限制(以两个数量中较低的数量为准)。 |
尽管您可借助基于策略的 VPN 来创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对均会与远程对等方共同创建一个单独的 IPsec SA。每个 SA 均可计为一个单独的 VPN 隧道。 |
由于路由(而非策略)决定了哪些流量会通过隧道,因此单个 SA 或 VPN 可支持多个策略。 |
在基于策略的 VPN 中,操作必须是被允许的,并且必须包含一个隧道。 |
在基于路由的 VPN 中,流量的处理规则不会与其传输方式叠加。 |
动态路由信息交换在基于策略的 VPN 中不受支持。 |
基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。 |
如果需要采用高出路由所能提供的细粒度,才能指定发送到隧道的流量,则使用基于策略且具有安全策略的 VPN 是最佳选择。 |
基于路由的 VPN 可使用路由来指定发送到隧道的流量;而策略则不会特别引用 VPN 隧道。 |
借助基于策略的 VPN 隧道技术,您可以在构建策略时将隧道视为一种构成元素。 |
当安全设备通过路由查找功能,查找将流量发送到某个地址所必须的接口时,它将通过安全通道 (st0) 接口查找路由。 借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,并将策略视为允许或拒绝传输此流量的方法。 |
了解如何处理 IKE 和 IPsec 数据包
IPsec VPN 隧道包含隧道设置和应用安全。在进行隧道设置期间,对等方会建立安全关联 (SA),用于定义确保两者之间传输安全流量的参数。(请参阅 IPsec 概述。)建立隧道后,IPsec 通过在隧道设置期间应用 SA 定义的安全参数来保护两个隧道端点之间发送的流量。在 Junos OS 实现中,IPsec 可在通道模式中得到应用,该模式支持对安全有效负载 (ESP) 和认证头 (AH) 协议进行封装。
本主题包含以下部分:
隧道模式中的数据包处理
IPsec 以两种模式之一运行:传输或隧道。当隧道的两端都是主机时,可使用任一模式运行 IPsec。如果隧道中至少有一个端点为安全网关(如 Junos OS 路由器或防火墙),则必须使用隧道模式。为支持 IPsec 隧道,瞻博网络设备始终在隧道模式下运行。
在隧道模式下,整个原始 IP 数据包(有效负载和报头)封装在另一个 IP 有效负载中,并向其附加一个新的报头,如 所示 。图 1其可对整个原始数据包进行加密和认证。可通过认证头 (AH) 协议对 AH 和新报头进行验证。使用封装安全有效负载 (ESP) 协议,还可以对 ESP 报头进行验证。
在站点到站点 VPN 中,新的报头使用的源地址和目的地址即为出接口的 IP 地址。请参阅 图 2。
在拨号 VPN 中,隧道 VPN 拨号客户端上没有隧道网关;隧道直接延伸至客户端本身(请参阅 图 3)。此时,在拨号客户端传输的数据包中,新报头和经过封装的原始报头具有相同的 IP 地址:客户端计算机的那个。
某些 VPN 客户端(如 Netscreen-Remote)使用虚拟内部 IP 地址(也称为“粘性地址”)。Netscreen-Remote 允许您对虚拟 IP 地址进行定义。在此种情况下,内部虚拟 IP 地址即为源 IP 地址,其位于客户端流量的原始包头中,而 ISP 动态分配给拨号客户端的 IP 地址则是外部标头中的源 IP 地址。
另请参阅
跨 SPU 分配 IKE 和 IPsec 会话
在 SRX5400、SRX5600 和 SRX5800 设备中,IKE 可为 IPsec 提供隧道管理并可对终端实体进行身份验证。IKE 可执行 Diffie-Hellman (DH) 密钥交换,以便在网络设备之间生成 IPsec 隧道。IKE 生成的 IPsec 隧道可用于对 IP 层网络设备之间的用户流量进行加密、解密和身份验证。
通过在平台的多个服务处理单元 (SPU) 之间分配 IKE 和 IPsec 工作负载,即可创建 VPN。对于站点到站点隧道,负载最小的 SPU 会被选为锚点 SPU。如果多个 SPU 具有相同的最小负载,则可以将其中任一 SPU 选为锚点 SPU。此处的负载与在 SPU 上锚定的站点到站点网关或手动 VPN 隧道的数量相对应。对于动态隧道,新建立的动态隧道会使用轮询算法选择 SPU。
IPsec 中的工作负载由分发 IKE 的相同算法分配。给定 VPN 隧道终结点对的第 2 阶段 SA 由特定 SPU 专门负责,属于此第 2 阶段 SA 的所有 IPsec 数据包将被转发至该 SA 的锚点 SPU,以便进行 IPsec 处理。
可通过一个或多个 IKE 会话运行多个 IPsec 会话(第 2 阶段 SA)。系统会根据锚定底层 IKE 会话的 SPU 选择锚定 IPsec 会话的 SPU。因此,通过单个 IKE 网关运行的所有 IPsec 会话均由相同的 SPU 提供服务,并且不会在多个 SPU 间均衡负载。
表 3 显示了具有三个 SPU 的 SRX5000 线路示例,它们通过三个 IKE 网关运行七个 IPsec 隧道。
SPU |
IKE 网关 |
IPsec 隧道 |
|---|---|---|
SPU0 |
IKE-1 |
IPsec-1 |
IPsec-2 |
||
IPsec-3 |
||
SPU1 |
IKE-2 |
IPsec-4 |
IPsec-5 |
||
IPsec-6 |
||
SPU2 |
IKE-3 |
IPsec-7 |
三个 SPU 中的每个 SPU 对 IKE 网关的负载都一样。如果创建了新 IKE 网关,则可以选择 SPU0、SPU1 或 SPU2 来锚定 IKE 网关及其 IPsec 会话。
搭建以及拆除现有 IPsec 隧道不会影响底层 IKE 会话或现有 IPsec 隧道。
使用以下 show 命令查看每个 SPU 的当前隧道数:show security ike tunnel-map。
使用此命令的 summary 选项查看每个网关的锚点:show security ike tunnel-map summary。
用于插入式服务处理卡的 VPN 支持
SRX5400、SRX5600 和 SRX5800 设备均具有基于机箱的分布式处理器架构。可基于服务处理卡 (SPC) 的数量对流处理能力进行共享。您可以通过安装新的 SPC 来扩展设备的处理能力。
在 SRX5400、SRX5600 或 SRX5800 机箱群集中,您可以在设备上插入新的 SPC,而不会影响或中断现有 IKE 或 IPsec VPN 隧道上的流量。在群集中的机箱内插入新的 SPC 时,现有隧道不会受到影响,并且流量也将继续发送,不会中断。
从 Junos OS 版本 19.4R1 开始,您可以在所有 SRX5000 系列机箱群集上将新的 SRX5K-SPC3 (SPC3) 或 SRX5K-SPC-4-15-320 (SPC2) 卡插入包含 SPC3 卡的现有机箱。您只能将卡插在机箱上比现有 SPC3 卡更高的插槽中。插入 SPC3 后,必须重新启动节点才能激活卡。节点重新启动完成后,系统会为卡分配 IPsec 隧道。
但是,现有隧道无法使用新 SPC 服务处理单元 (SPC) 的处理能力。新的 SPU 可锚定新建立的站点到站点的动态隧道。但是无法保证能够在新 SPU 上锚定新配置的隧道。
站点到站点隧道可根据负载均衡算法锚定在不同的 SPU 上。负载均衡算法取决于每个 SPU 使用的流式线程数量。属于相同本地和远程网关 IP 地址的隧道可锚定在与 SPU 使用不同流式 RT 线程的同一 SPU 上。具有最小负载的 SPU 会被选为锚点 SPU。每个 SPU 均会保留此特定 SPU 中托管的流式 RT 线程数。每个 SPU 上托管的流式 RT 线程数取决于 SPU 的类型。
隧道负载因数 = SPU 上锚定的隧道数/SPU 使用的流式 RT 线程总数。
系统可根据轮询算法将动态隧道锚定在不同的 SPU 上。无法保证能够在新 SPC 上锚定新配置的动态隧道。
从 Junos OS 18.2R2 和 18.4R1 版本开始,当 SRX5K-SPC-4-15-320 (SPC2) 和 SPC3 卡已安装且在机箱群集模式或独立模式的设备上运行时,SRX5400、SRX5600 和 SRX5800 设备均将支持目前仅在 SRX5K-SPC3 (SPC3) 上支持的现有 IPsec VPN 功能。
同时安装 SPC2 和 SPC3 卡时,您可以使用 show security ipsec tunnel-distribution 命令验证不同 SPU 上的通道映射。
仅插入 SPC2 卡时,可使用命令 show security ike tunnel-map 查看不同 SPU 上的通道映射。在已安装 SPC2 和 SPC3 卡的环境中,命令 show security ike tunnel-map 无效。
插入 SPC3 卡:准则和限制:
-
在机箱群集中,如果其中一个节点具有 1 个 SPC3 卡,另一个节点有 2 个 SPC3 卡,则不支持将故障切换至具有 1 个 SPC3 卡的节点。
-
您必须将 SPC3 或 SPC2 插入现有机箱中的较高插槽中,其位置要高于当前 SPC3 所在的较低插槽。
-
要使 SPC3 ISHU 正常工作,则必须将新的 SPC3 卡插入编号更高的插槽。
-
在 SRX5800 机箱群集上,由于配电和热量分布的限制,不得将 SPC3 卡插入最高的插槽(插槽 11)中。
-
瞻博网络不支持对 SPC3 进行热插拔。
总结了支持 SPC2 或 SPC3 卡 的 SRX5000 行,支持或 处理:表 4kmdiked
|
SRX5000线 |
支持 或 处理 |
|---|---|
|
SRX5000仅安装 SPC2 卡的生产线 |
支持 流程。 |
|
SRX5000仅安装 SPC3 卡的生产线 |
支持 流程。 |
|
SRX5000同时安装了 SPC2 和 SPC3 卡的生产线 |
支持 流程。 |
另请参阅
SRX5K-SPC3 卡、SRX 中端平台和 vSRX 虚拟防火墙支持加密加速
SRX5000 SRX5K-SPC3 卡(服务处理卡)、SRX 中端平台(SRX4100、SRX4200、SRX1500 和 SRX4600 系列防火墙)以及 vSRX 虚拟防火墙的系列需要 软件包作为控制平面软件才能安装和启用 IPsec VPN 功能。junos-ike
-
默认情况下,SRX5000 RE3 中, 软件包安装在 Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 及更高版本中。
junos-ike因此,默认情况下,进程在路由引擎上运行, 而不是在 IPsec 密钥管理守护程序 (kmd) 上运行。ikedikemd 采用 SRX5K-SPC3 的 SRX5000 系列将加密操作卸载到硬件加密引擎。 -
SRX 中端平台涵盖 SRX1500、SRX4100、SRX4200 和 SRX4600 系列防火墙,通过运行 软件的设备将 DH、RSA 和 ECDSA 加密操作卸载到硬件加密引擎。
junos-ike此功能从 Junos OS 23.2R1 版开始提供,设备已安装软件包。junos-ike继续运行旧 版软件(kmd 进程)的设备不支持此功能。iked -
在 vSRX 虚拟防火墙上,数据平面 CPU 线程卸载 DH、RSA 和 ECDSA 操作。硬件加速在这些设备上不可用。此功能从 Junos OS 23.2R1 版开始提供,设备上安装了软件包。
junos-ike
描述了 对各种密码的硬件加速支持:表 5
| 密码 | SRX1500 | SRX4100/SRX4200 | SRX4600 | SRX5K - SPC3 | vSRX3.0 | ||||
|---|---|---|---|---|---|---|---|---|---|
| KMD | 艾凯德 | KMD | 艾凯德 | KMD | 艾凯德 | 艾凯德 | KMD | 艾凯德 | |
| DH(第 1、2、5、14 组) | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 卫生署(第19、20组) | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| 卫生署(第15、16组) | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| 卫生署第21组 | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| 卫生署第24组 | 是 | 是 | 是 | 是 | 是 | 是 | 否 | 否 | 否 |
| RSA | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| ECDSA (256, 384, 521) | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
要在 SRX 系列防火墙上安装 Junos IKE 软件包,请使用以下命令:
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
要使用进程在没有 SPC3 卡SRX5000线路上启用 IPsec VPN 功能,必须运行 该命令。kmdrequest system software delete junos-ike 运行命令后,重新启动设备。
要检查已安装的 junos-ike 软件包,请使用以下命令:
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
另请参阅
新软件包支持 IPsec VPN 功能
这两个进程, 并支持 SRX 系列防火墙上的 IPsec VPN 功能。ikedikemd 一次在路由引擎上运行一个实例。ikedikemd
默认情况下,软件包安装在 Junos OS 19.4R1 版及更高版本中, 适用于带有 RE3 的 SRX5K-SPC3。junos-ike 路由引擎上运行的 和 进程都可用于此软件包。ikedikemd 在带有 RE2 的 SRX5K-SPC3 上,这是一个可选软件包,需要显式安装。
要在例程引擎中重新启动 进程,请使用命令 。ikemdrestart ike-config-management
要在路由引擎中重新启动 进程,请使用 命令。ikedrestart ike-key-management
显示了引入了软件包的 Junos OS 版本的详细信息。表 6junos-ike
|
平台 |
带软件包的 Junos OS 版本 |
|---|---|
|
SRX5K-SPC3 与 RE3 |
19.4R1 及更高版本作为默认软件包 |
|
SRX5K-SPC3 与 RE2 |
18.2R1 及更高版本作为可选软件包 |
|
vSRX 虚拟防火墙 |
20.3R1 及更高版本作为可选软件包 |
|
SRX1500 |
22.3R1 及更高版本作为可选软件包 |
|
SRX4100、SRX4200 SRX4600 |
22.3R1 及更高版本作为可选软件包 |
|
SRX1600, SRX2300 |
23.4R1 及更高版本作为默认软件包 |
安装 软件包时忽略指定的 Junos OS 发行版可能会导致不受支持的功能无法按预期运行。junos-ike
要在没有 SRX5K-SPC3 卡的线路上使用传统 进程操作 IPsec VPN 功能SRX5000必须运行 命令并重新启动设备。kmdrequest system software delete junos-ike
不支持 IPsec VPN 功能
本节为您提供 SRX5K-SPC3 系列和 vSRX 虚拟防火墙实例不支持SRX5000 IPsec VPN 功能和配置的摘要。
要确定特定平台或 Junos OS 版本是否支持某个功能,请参阅功能浏览器。
表 7 总结了运行 IKED 进程的 SRX 系列防火墙和 vSRX 虚拟防火墙上不支持的 IPsec VPN 功能:
|
功能 |
支持 SRX5K-SPC3 和 vSRX 虚拟防火墙实例SRX5000 |
|---|---|
|
AutoVPN 协议无关组播 (PIM) 点对多点模式。 |
否 |
|
在 IPsec VPN 上配置转发类。 |
否 |
|
组 VPN。 |
否 |
|
IPsec 数据通路验证数据包大小配置。 |
否 |
|
基于策略的 IPsec VPN。 |
否 |
IPsec VPN 隧道上的路由协议支持
我们支持 OSPF、BGP、PIM、RIP 和 BFD 等路由协议在运行或处理的 SRX 系列防火墙和 MX 系列路kmd由iked器上的 IPsec 隧道上运行。协议支持因 IP 寻址方案或 st0 接口类型、点对点 (P2P) 或点对多点 (P2MP) 而异。
表 8 总结了 SRX 系列防火墙和 MX 路由器上的 OSPF 协议支持。
| OSPF | ||||
|---|---|---|---|---|
| 设备 | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2 | 是 | 否 | 是 | 否 |
| SRX5K-SPC3 | 是 | 否 | 是 | 否 |
| 混合模式下的 SRX5K (SPC3 + SPC2) | 是 | 否 | 是 | 否 |
| vSRX 虚拟防火墙 3.0 | 是 | 否 | 是 | 否 |
| MX-SPC3 | 是 | 否 | 否 | 否 |
表 9 总结了 SRX 系列防火墙和 MX 路由器上的 OSPFv3 协议支持。
| OSPFv3 | ||||
|---|---|---|---|---|
| 设备 | P2p | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2 | 否 | 是 | 否 | 是 |
| SRX5K-SPC3 | 否 | 是 | 否 | 是 |
| 混合模式下的 SRX5K (SPC3 + SPC2) | 否 | 是 | 否 | 是 |
| vSRX 虚拟防火墙 3.0 | 否 | 是 | 否 | 是 |
| MX-SPC3 | 否 | 是 | 否 | 否 |
表 10 总结了 SRX 系列防火墙和 MX 路由器上的 BGP 协议支持。
| BGP | ||||
|---|---|---|---|---|
| 设备 | P2p | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2 | 是 | 是 | 是 | 是 |
| SRX5K-SPC3 | 是 | 是 | 是 | 是 |
| 混合模式下的 SRX5K (SPC3 + SPC2) | 是 | 是 | 是 | 是 |
| vSRX 虚拟防火墙 3.0 | 是 | 是 | 是 | 是 |
| MX-SPC3 | 是 | 是 | 否 | 否 |
表 11 总结了 SRX 系列防火墙和 MX 路由器上的 PIM 协议支持。
| PIM | ||||
|---|---|---|---|---|
| 设备 | P2p | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX550 HM、SRX650、SRX1400、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2 | 是 | 否 | 否 | 否 |
| SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX1500 | 是 | 否 | 是 | 否 |
| SRX5K-SPC3 | 是 | 否 | 否 | 否 |
| 混合模式下的 SRX5K (SPC3 + SPC2) | 是 | 否 | 否 | 否 |
| vSRX 虚拟防火墙 | 是 | 否 | 是 注:
不支持多线程。 |
否 |
| MX-SPC3 | 是 | 否 | 否 | 否 |
表 12 总结了 SRX 系列防火墙和 MX 路由器上的 RIP 协议支持。
| RIP | ||||
|---|---|---|---|---|
| 设备 | P2p | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2 | 是 | 是 | 否 | 否 |
| SRX5K-SPC3 | 是 | 是 | 否 | 否 |
| 混合模式下的 SRX5K (SPC3 + SPC2) | 是 | 是 | 否 | 否 |
| vSRX 虚拟防火墙 3.0 | 是 | 是 | 否 | 否 |
| MX-SPC3 | 是 | 是 | 否 | 否 |
表 13 总结了 SRX 系列防火墙和 MX 路由器上的 BFP 协议支持。
| BFD | ||||
|---|---|---|---|---|
| 设备 | P2p | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 和 SRX5K-SPC2 | 是 | 是 | 是 | 是 |
| SRX5K-SPC3 | 是 | 是 | 是 | 是 |
| 混合模式下的 SRX5K (SPC3 + SPC2) | 是 | 是 | 是 | 是 |
| vSRX 虚拟防火墙 3.0 | 是 | 是 | 是 | 是 |
| MX-SPC3 | 是 | 是 | 否 | 否 |
防重放窗口
在 SRX 系列防火墙上,默认情况下启用, 窗口大小值为 64。anti-replay-window
在安装了 SPC3 卡的 SRX 系列 5000 系列上,您可以将大小配置为 64 到 8192(2 的幂)。anti-replay-window 要配置窗口大小,请使用新 选项。anti-replay-window-size 根据配置的 验证传入数据包是否存在重放攻击 。anti-replay-window-size
您可以在两个不同的级别进行配置 :replay-window-size
-
- 在 [] 层次结构级别配置。Global level
edit security ipsec例如:
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
- 在 [] 层次结构级别配置。VPN object
edit security ipsec vpn vpn-name ike例如:
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
如果在两个级别都配置了防重放,则为 VPN 对象级别配置的窗口大小优先于在全局级别配置的窗口大小。如果未配置防重放,则窗口大小默认为 64。
要在 VPN 对象上禁用防重放窗口选项,请在 [] 层次结构级别使用命令。set no-anti-replayedit security ipsec vpn vpn-name ike 您无法在全局级别禁用反重放。
不能同时配置 和 VPN 对象。anti-replay-window-sizeno-anti-replay
另请参阅
了解中心辐射型 VPN
如果创建两个可在设备上终止的 VPN 隧道,则可以设置一对路由,以便此设备能够在一个隧道退出时,将其流量引导至另一个隧道。您还需要创建相应的策略,以允许流量从一个隧道传递到另一个隧道。采用此部署方式的 VPN 称为中心辐射型 VPN。(请参阅 图 4。)
您还可以配置多个 VPN 并在任意两个隧道之间路由流量。
SRX 系列防火墙仅支持基于路由的中心辐射型功能。
另请参阅
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
junos-ike 因此 ,默认情况下, 进程在路由引擎上运行,而不是在 IPsec 密钥管理守护程序 (kmd) 上运行。ikedikemd