Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 概述

VPN 是一种专用网络,使用公共网络连接两个或更多个远程站点。Vpn 使用通过公共网络路由(隧道)的虚拟连接,而不是在网络之间使用专用连接。IPsec VPN 是一种协议,由用于建立 VPN 连接的一组标准构成。

IPsec VPN 概述

VPN 提供一种方法,让远程计算机通过公共 WAN (如互联网)安全地进行通信。

VPN 连接可链接两个 Lan (站点到站点 VPN)或远程拨号用户和 LAN。在这两个点之间流动的信息流通过共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)传递。为了在通过 WAN 时保护 VPN 通信,两个参与者创建 IP 安全(IPsec)通道。

术语 隧道 不表示通道模式(请参阅 隧道模式中的数据包处理)。而是指 IPsec 连接。

IPsec 是一套相关协议,用于在 IP 数据包层进行加密安全通信。IPsec 还提供手动和自动协商安全关联(Sa)和密钥分配的方法,所有属性都在一组解释(DOI)中收集。IPsec DOI 是一个文档,其中包含成功协商 VPN 隧道所需的所有安全参数的定义 , 本质上就是 SA 和虚拟协商IKE属性。有关详细信息,请参阅 RFC 2407 和 RFC 2408。

本主题包括以下几节:

安全关联

安全关联(SA)是 VPN 参与者之间的单向协议,与用于保护通信通道的方法和参数有关。完全双向通信需要至少两个 Sa,每个方向一个。通过 SA,IPsec 隧道可以提供以下安全功能:

  • 隐私(通过加密)

  • 内容完整性(通过数据身份验证)

  • 发送方认证和(如果使用证书)不拒绝(通过数据源身份验证)

您采用的安全功能取决于您的需求。如果您只需要验证 IP 数据包源和内容完整性,则可以在不应用任何加密的情况下对数据包进行身份验证。另一方面,如果您只关心保留隐私,则可以在不应用任何身份验证机制的情况下加密数据包。您也可以对数据包进行加密和身份验证。大多数网络安全设计人员选择对其 VPN 流量进行加密、身份验证和重放保护。

IPsec 隧道由一对单向 SA(隧道每个方向上一个 SA)组成,用于指定安全参数索引 (SPI)、目标 IP 地址和安全协议(采用认证头 [AH] 或 封装安全有效负载 [ESP] )。SA 将以下用于保护通信的组件组合在一起:

  • 安全算法和密钥。

  • 协议模式(传输或隧道)。Junos OS 设备始终使用通道模式。(请参阅通道模式中的数据包处理。)

  • 密钥管理方法,手动密钥或 AutoKey IKE。(请IPsec 密钥管理参阅。)

  • SA 寿命。

对于入站信息流,Junos OS 使用以下三何时来查找 SA:

  • 目标 IP 地址。

  • AH 或 ESP 安全协议。(请IPsec 安全协议参阅。)

  • 安全参数索引(SPI)值。

对于出站 VPN 流量,策略将调用与 VPN 通道关联的 SA。

IPsec 密钥管理

密钥的分配和管理对于成功使用 Vpn 至关重要。Junos OS 支持使用三种密钥创建机制创建 VPN 隧道的 IPsec 技术:

  • 手动密钥

  • 使用预共享密钥或证书的 AutoKey IKE

在第 1 阶段到第 2 阶段提议配置期间,您可以选择密钥创建机制(也称为身份验证方法)。请参阅IPsec 通道协商

本主题包括以下几节:

手动密钥

通过手动密钥,隧道两端的管理员将配置所有安全参数。这是一种可行的小静态网络技术,其中键的分配、维护和跟踪并不难。但是,跨远距离安全分发手动密钥配置会带来安全问题。除了通过这些键的情况外,您无法完全确定密钥在传输过程中没有受到危害。此外,每当您需要更改密钥时,您面临的问题与最初分发时相同。

AutoKey IKE

当您需要创建和管理多个隧道时,您需要一种不要求您手动配置每个元素的方法。IPsec 支持使用互联网密钥交换(IKE)协议自动生成和协商密钥和安全关联。Junos OS 将此类自动化隧道协商称为 AutoKey IKE,并支持使用预先共享的密钥和 AutoKey IKE 证书的 AutoKey IKE。

  • AutoKey IKE预共享密钥 — 使用预共享密钥的 AutoKey IKE 在 IKE 会话中验证参与方,每一方都必须预先配置并安全地交换预共享密钥。在这方面,安全密钥分配的问题与手动密钥相同。但是,一旦分发后,与手动密钥不同的 autokey 可使用 IKE 协议按预先确定的间隔自动更改其密钥。频繁变化的密钥极大地提高了安全性,并且自动做到了这一点,大大减少了关键管理责任。但是,更改密钥会增加流量开销;因此,经常更改密钥会降低数据传输效率。

    预共享密钥是加密和解密的密钥,两个参与者都必须在发起通信之前拥有。

  • AutoKey IKE证书 — 在 AutoKey IKE 协商期间使用证书对参与方进行身份验证时,每方都会生成一个公共密钥对和私有密钥对,并获取一个证书 。只要双方信任证书颁发机构 (证书颁发机构),参与方就可以检索对等方的公钥并验证对等方的签名。无需跟踪密钥和 Sa; 请与IKE 自动执行此操作。

Diffie-hellman 交换

Diffie-hellman (DH)交换允许参与者产生共享机密值。该技术的优势在于,它允许参与者通过无安全性的媒体来创建机密值,而不必通过线路传递机密值。每个群组的计算中使用的数模数大小各不相同,如下表所示。Diffie Hellman (DH) 交换操作可在软件中或硬件中执行。当在硬件中执行这些交换操作时,我们采用 QuickAssist 技术 (QAT) 加密。下面 表 1 列出了不同的 Diffie Hellman (DH) 组,并指定为该组执行的操作是在硬件中还是软件中。

表 1: Diffie Hellman (DH) 组及其交换操作执行

Diffie-Hellman (DH) 组

Prime 模块尺寸

第 1 组 DH

768-bit

硬件

第 2 组 DH

102-bit

硬件

第 5 组 DH

1536-bit

硬件

第 14 组 DH

2048-bit

硬件

第 15 组 DH

3072-bit

软件

第 16 组 DH

4096-bit

软件

第 19 组 DH

256 位椭圆曲线

软件

第 20 组 DH

384 位椭圆曲线

软件

第 21 组 DH

521 位椭圆曲线

软件

第 24 组 DH

带 256 位全数顺序子组的 2048 位

软件

从Junos OS版本19.1R1,SRX 系列设备支持第 15 组、第 16 组和 21 组 DH。

我们不建议使用 DH 组1、2和5。

由于每个 DH 组的模数的大小不同,参与者必须同意使用相同的组。

IPsec 安全协议

IPsec 在 IP 层使用两种协议来保护通信:

  • 认证头 (AH) — 用于验证 IP 数据包来源和验证其内容完整性的安全协议

  • 封装安全有效负载 (ESP) — 一种用于加密整个 IP 数据包(并认证其内容)的安全协议

在第 2 阶段提议配置期间,您可以选择安全协议(也称为身份验证和加密算法)。请参阅IPsec 通道协商

对于每个 VPN 隧道,AH 和 ESP 隧道会话都安装在服务处理单元(Spu)和控制平面上。协商完成后,隧道会话将随协商的协议更新。对于 SRX5400、SRX5600 和 SRX5800 设备,锚定 Spu 上的通道会话将随协商的协议一起更新,而非锚定 Spu 保留 ESP 和 AH 隧道会话。ESP 和 AH 隧道会话将显示在show security flow sessionshow security flow cp-session操作模式命令的输出中。

本主题包括以下几节:

AH 协议

身份验证标头(AH)协议提供验证内容和数据包的真实性和完整性的方法。您可通过使用密钥以及 MD5 或 SHA 哈希函数通过哈希消息身份验证代码(HMAC)计算出的校验和来验证数据包。

  • 消息摘要 5 (MD5) — 一种从任意长度的消息产生 128位散列(也称为数字签名或消息摘要)的算法,以及 16 字节密钥。生成的哈希与输入的指纹一样,用于验证内容和来源真实性和完整性。

  • 安全散列算法 (SHA) — 一种从任意长度的消息产生 160 位散列和一个 20 字节密钥的算法。由于其产生的哈希更大,因此通常认为安全性比 MD5 更安全。由于计算处理是在 ASIC 中进行的,因此性能成本可以忽略。

有关 MD5 哈希算法的详细信息,请参阅 RFC 1321 和 RFC 2403。有关 SHA 哈希算法的详细信息,请参阅 RFC 2404。有关 HMAC 的详细信息,请参阅 RFC 2104。

ESP 协议

封装安全负载(ESP)协议提供确保隐私(加密)和源身份验证以及内容完整性(身份验证)的方法。通道模式中的 ESP 将封装整个 IP 数据包(标头和有效载荷),然后将新 IP 报头追加到当前加密的数据包。此新 IP 报头包含通过网络路由受保护数据所需的目标地址。(请参阅通道模式中的数据包处理。)

通过 ESP,您可以加密和认证、仅加密或仅身份验证。对于加密,您可以选择以下加密算法之一:

  • 数据加密标准 (DES) — 一种包含 56 位密钥的加密块算法。

  • 三重 DES (3DES) — 更强大的 DES 版本,其中使用一个 168 位密钥应用三轮原始 DES 算法。DES 提供显著的性能节约,但许多分类或敏感材料传输都被视为不可接受。

  • 高级加密标准 (AES) — 可与其他设备实现更互操作性的加密标准。Junos OS 支持128位、192位和256位密钥的 AES。

对于身份验证,您可以使用 MD5 或 SHA 算法。

即使可以为加密选择 NULL,也已证明 IPsec 在此类情况下可能容易受到攻击。因此,我们建议您选择一个加密算法来实现最高安全性。

IPsec 通道协商

要建立 AutoKey IKE IPsec 隧道,需要两个协商阶段:

  • 在第 1 阶段,参与方建立一个安全通道,以便协商 IPsec 安全关联 (AS)。

  • 在第 2 阶段,参与方协商 IPsec SLA,以便对用户数据后续交换进行加密和验证。

对于手动密钥 IPsec 通道,由于以前定义了所有 SA 参数,因此无需协商要使用哪些 Sa。实际上,已建立了隧道。当流量与使用该手动密钥通道的策略或路由涉及到隧道时,瞻博网络设备仅对数据进行加密和身份验证,并在您确定的同时将其转发至目标网关。

远程 IKE 网关地址可以在任何虚拟路由(VR)实例中。VR 是在 IKE 阶段1和阶段2协商期间确定的。不需要在 IKE 建议中配置 VR。如果 IKE 网关接口从一个 VR 移动到另一个,则将清除 IKE 网关的现有 IKE 阶段1和阶段2协商,并执行新的阶段1和阶段2协商。

  • 在 SRX 系列设备上,启用 VPN 时,将支持跨虚拟路由器的 IP 地址重叠,但存在以下限制:

    • IKE 外部接口地址不能与任何其他虚拟路由器重叠。

    • 内部或信任接口地址可以在虚拟路由器之间重叠。

    • St0 接口地址不能在点对点通道(如 NHTB)的基于路由的 VPN 中重叠。

    • St0 接口地址在点对点隧道中可能会在基于路由的 VPN 中重叠。

  • 跨 VRs 配置的 IPsec VPN 隧道的本地 IP 地址和远程网关 IP 地址组合必须是唯一的。

  • 当回传接口用作 IKE 网关外部接口时,IKE 协商的物理接口应位于同一 VR 中。

SRX 系列设备上的 IPsec VPN 拓扑

以下是 Junos 操作系统(OS)支持的一些 IPsec VPN 拓扑:

  • 站点到站点 VPN — 将组织的两个站点连接在一起,允许站点之间的安全通信。

  • 中心辐式 VPN — 在企业网络中将分支机构办公室连接到企业办公室。您还可以使用此拓扑通过中心发送信息流将分支连接在一起。

  • 远程访问 VPN — 在家办公或正在出差的用户可连接到公司办公室及其资源。此拓扑有时称为端到端 隧道

比较基于策略和基于路由的 Vpn

了解基于策略和基于路由的 Vpn 之间的差异是非常重要的,以及为什么一个人可能更可取。

表 2列出了基于路由的 Vpn 与基于策略的 Vpn 之间的差异。

表 2: 基于路由的 Vpn 与基于策略的 Vpn 之间的差异

基于路由的 Vpn

基于策略的 Vpn

借助基于路由的 Vpn,策略不会专门引用 VPN 通道。

借助基于策略的 VPN 隧道,通道被视为一个与源、目标、应用程序和操作相结合的对象,构成了允许 VPN 流量的隧道策略。

策略将引用目标地址。

在基于策略的 VPN 配置中,通道策略专门按名称引用 VPN 通道。

您创建的基于路由的 VPN 隧道的数量受设备支持的路由条目数或 st0 接口数量的限制,其中的数字越低。

您可以创建的基于策略的 VPN 隧道数量受设备支持的策略数量的限制。

当您希望保留通道资源,同时在 VPN 流量上设置粒度限制时,基于路由的 VPN 隧道配置是一个不错的选择。

借助基于策略的 VPN,尽管您可以创建多个引用同一 VPN 通道的通道策略,但每个通道策略对都会与远程对等方一起创建一个单独的 IPsec 安全关联(SA)。每个 SA 计为一个单独的 VPN 通道。

借助基于路由的 Vpn 方法,信息流的法规并不与其交付方法耦合。您可以配置数十个策略来控制流经两个站点之间的单个 VPN 通道的信息流,并且只有一个 IPsec SA 在工作。此外,基于路由的 VPN 配置允许您创建参考目标通过 VPN 通道到达的策略,其中的操作是 deny。

在基于策略的 VPN 配置中,该操作必须为允许,并且必须包含一个隧道。

基于路由的 Vpn 支持通过 VPN 隧道交换动态路由信息。您可以在绑定到 VPN 通道的 st0 接口上启用动态路由协议的实例,例如 OSPF。

基于策略的 Vpn 中不支持动态路由信息的交换。

基于路由的配置用于辐射型拓扑。

基于策略的 Vpn 不能用于中心辐射型拓扑。

借助基于路由的 Vpn,策略不会专门引用 VPN 通道。

如果通道未连接正在运行动态路由协议的大型网络,并且无需保留隧道或定义各种策略来过滤通过通道的信息流,则基于策略的隧道是最佳选择。

基于路由的 Vpn 不支持远程访问(拨号) VPN 配置。

基于策略的 VPN 隧道是远程访问(拨号) VPN 配置所必需的。

基于路由的 Vpn 可能无法与某些第三方供应商一起正常工作。

如果第三方需要每个远程子网的单独 SAs,则可能需要基于策略的 Vpn。

当安全设备执行路由查找以查找其必须发送信息流以到达地址的接口时,它将通过绑定到特定 VPN 通道的安全通道接口(st0)找到一个路由。

借助基于路由的 VPN 通道,您可以将通道视为传送信息流的方式,并将策略视为允许或拒绝交付该信息流的方法。

借助基于策略的 VPN 通道,您可以在构建策略时将通道视为元素。

基于路由的 Vpn 支持 st0 接口 NAT。

如果通道流量需要 NAT,则不能使用基于策略的 Vpn。

代理 ID 支持基于路由和基于策略的 Vpn。基于路由的隧道还提供使用多个流量选择器,也称为多代理 ID。流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议匹配,则允许通过隧道传输流量。您可以在基于路由的特定 VPN 中定义流量选择器,这会导致多阶段 2 IPsec Sa。仅允许通过 SA 符合流量选择器的流量。如果远程网关设备是非瞻博网络设备,则通常需要流量选择器。

基于策略的 Vpn 仅在 SRX5400、SRX5600 和 SRX5800 设备上受支持。平台支持取决于安装中的 Junos OS 版本。

基于策略的 Vpn 与基于路由的 Vpn 比较

表 3总结基于策略的 Vpn 与基于路由的 Vpn 之间的差异。

表 3: 基于策略的 Vpn 与基于路由的 Vpn 之间的比较

基于策略的 Vpn

基于路由的 Vpn

在基于策略的 Vpn 中,通道被视为一个与源、目标、应用程序和操作相结合的对象,构成了允许 VPN 流量的隧道策略。

在基于路由的 Vpn 中,策略未特别引用 VPN 通道。

通道策略特别按名称引用 VPN 通道。

路由将根据目标 IP 地址确定将哪些信息流通过通道发送。

可创建的基于策略的 VPN 隧道数量受设备支持的隧道数量的限制。

您创建的基于路由的 VPN 隧道的数量受 st0 接口数量(对于点对点 Vpn)或设备支持的隧道数量的限制(两者中较低者)。

借助基于策略的 VPN,尽管您可以创建多个引用同一个 VPN 通道的通道策略,但每个通道策略对都会与远程对等方一起创建一个单独的 IPsec SA。每个 SA 计为一个单独的 VPN 通道。

由于路由(而非策略)决定了哪些信息流通过通道,因此单个 SA 或 VPN 可支持多个策略。

在基于策略的 VPN 中,操作必须为允许,并且必须包含一个通道。

在基于路由的 VPN 中,信息流的法规不与其交付方式耦合。

基于策略的 Vpn 中不支持动态路由信息的交换。

基于路由的 Vpn 支持通过 VPN 隧道交换动态路由信息。您可以在绑定到 VPN 通道的 st0 接口上启用动态路由协议的实例,例如 OSPF。

如果需要更多粒度才能指定发送到通道的流量,则使用基于策略且具有安全策略的 VPN 是最佳选择。

基于路由的 Vpn 使用路由来指定发送至通道的流量;策略没有特别参考 VPN 通道。

借助基于策略的 VPN 通道,您可以在构建策略时将通道视为元素。

当安全设备执行路由查找以查找其必须发送信息流以到达地址的接口时,它将通过安全通道(st0)接口找到路由。

借助基于路由的 VPN 通道,您可以将通道视为传送信息流的方式,并将策略视为允许或拒绝交付该信息流的方法。

了解 IKE 和 IPsec 数据包处理

IPsec VPN 通道由通道设置和应用的安全组成。在隧道设置期间,对等方建立安全关联(Sa),定义用于保护自身之间流量的参数。(请参阅IPSEC VPN 概述。)建立隧道之后,IPsec 通过应用由 Sa 在通道设置期间定义的安全参数来保护在两个通道端点之间发送的信息流。在 Junos OS 实施中,IPsec 在通道模式中应用,后者支持封装式安全措施负载(ESP)和身份验证报头(AH)协议。

本主题包括以下几节:

通道模式中的数据包处理

IPsec 以两种模式之一运行:传输或隧道。当隧道的两端都为主机时,您可以使用任一模式。如果通道中至少有一个端点为安全网关(如 Junos OS 路由器或防火墙),则必须使用隧道模式。瞻博网络设备始终以隧道模式在 IPsec 隧道上运行。

在隧道模式中,整个原始 IP 数据包(有效负载和报头)封装在另一个 IP 有效负载中,并附加一个新的报头,如 图 1 中所示。整个原始数据包可加密、认证,或两者兼有。通过身份验证标头(AH)协议,AH 和新报头也将进行认证。通过封装式安全有效负载(ESP)协议,ESP 标头也可进行身份验证。

图 1: 通道模式通道模式

在站点到站点 VPN 中,新标头中使用的源和目标地址是传出接口的 IP 地址。请参阅图 2

图 2: 通道模式下的站点到站点 VPN通道模式下的站点到站点 VPN

在拨号 VPN 中,VPN 拨号客户端上没有隧道网关;隧道直接延伸至客户端本身(请参阅图 3)。在这种情况下,在从拨号客户端发送的数据包上,新标头和封装的原始标头都具有相同的 IP 地址:客户端计算机的端口。

某些 VPN 客户端(如动态 VPN 客户端和 Netscreen-Remote)会使用内部虚拟 IP 地址(也称为"粘性地址")。Netscreen-Remote 允许您定义虚拟 IP 地址。动态 VPN 客户端使用在 XAuth 配置交换期间分配的虚拟 IP 地址。在此类情况下,虚拟内部 IP 地址是源自客户端的信息流的原始数据包标头中的源 IP 地址,而 ISP 动态分配拨号客户端的 IP 地址是外部标头中的源 IP 地址。

图 3: 通道模式下的拨号 VPN通道模式下的拨号 VPN

跨 Spu 分发 IKE 和 IPsec 会话

在 SRX5400、SRX5600 和 SRX5800 设备中,IKE 为 IPsec 提供隧道管理并验证最终实体。IKE 执行 Diffie-hellman (DH)密钥交换,在网络设备之间生成 IPsec 隧道。IKE 生成的 IPsec 隧道用于对 IP 层网络设备之间的用户流量进行加密、解密和身份验证。

VPN 是通过在平台的多个服务处理单元(Spu)之间分配 IKE 和 IPsec 工作负载来创建的。对于站点到站点的隧道,将最少加载的 SPU 选为锚定。如果多个 Spu 具有相同的最小负载,则可以将其中任何一个定位为 SPU 锚定。此处的负载与在 SPU 上锚定的站点到站点网关或手动 VPN 隧道的数量一致。对于动态隧道,新建立的动态隧道使用循环算法选择 SPU。

在 IPsec 中,工作负载由分发 IKE 的相同算法分配。给定 VPN 隧道终结点对的第2阶段 SA 对专门由特定 SPU 拥有,而属于此阶段 2 SA 的所有 IPsec 数据包将转发给该 SA 的定位 SPU 以进行 IPsec 处理。

多个 IPsec 会话(第2阶段 SA)可在一个或多个 IKE 会话上运行。为定位 IPsec 会话选择的 SPU 基于用于定位底层 IKE 会话的 SPU。因此,通过单个 IKE 网关运行的所有 IPsec 会话都将由相同的 SPU 提供服务,并且不会在多个 Spu 上进行负载平衡。

表 4显示了 SRX5000 线路设备的示例,其中三个 spu 在三个 IKE 网关上运行七个 IPsec 隧道。

表 4: 跨 Spu 分发 IKE 和 IPsec 会话

SPU

IKE 网关

IPsec 隧道

SPU0

IKE-1

IPsec-1

IPsec-2

IPsec-3

SPU1

IKE-2

IPsec-4

IPsec-5

IPsec-6

SPU2

IKE-3

IPsec-7

这三个 Spu 每个 IKE 网关的负载相等。如果创建了新 IKE 网关,则可能会选择 SPU0、SPU1 或 SPU2 来锚定 IKE 网关及其 IPsec 会话。

在现有 IPsec 隧道之间设置和脱节不会影响底层 IKE 会话或现有 IPsec 隧道。

使用以下show命令查看每个 SPU 的当前隧道数:show security ike tunnel-map.

使用命令summary选项查看每个网关的锚点:show security ike tunnel-map summary.

VPN 支持插入服务处理卡

SRX5400、SRX5600 和 SRX5800 设备具有基于机箱的分布式处理器架构。流处理能力是共享的,基于服务处理卡(Spc)的数量。您可以通过安装新 Spc 来扩展设备的处理能力。

在 SRX5400、SRX5600 或 SRX5800 机箱集群中,您可以在设备上插入新 Spc,而不会影响或中断现有 IKE 或 IPsec VPN 隧道上的流量。在群集的每个机箱中插入新的 SPC 时,现有隧道不会受到影响,并且流量将继续流过而不会造成中断。

从 Junos OS Release 19.4 R1 开始在所有 SRX5000 系列设备的机箱集群上,您可以将新的 SRX5K-SPC-SPC3 (SPC3)或 SRX5K-SPC-SPC-4-15-320 (SPC2)卡插入包含 SPC3 卡的现有机箱中。您只能将卡插入机箱上现有 SPC3 卡之外的插槽中。插入 SPC3 后,您必须重新启动节点才能激活卡。节点重新启动完成后,IPsec 隧道将分配到卡。

但是,现有隧道不能使用新 Spc 中的服务处理单元(Spu)的处理能力。新的 SPU 可定位新建立的站点到站点和动态隧道。但是,新配置的隧道并不保证能够锚定在新的 SPU 上。

站点到站点隧道基于负载平衡算法定位在不同的 Spu 上。负载平衡算法取决于每个 SPU 所使用的数字流线程。属于相同本地和远程网关 IP 地址的隧道在与 SPU 使用的不同流 RT 线程上的同一 SPU 上锚定。具有最小负载的 SPU 选择为锚定。每个 SPU 维护在该特定 SPU 中托管的流 RT 线程数。每个 SPU 上托管的流 RT 线程数取决于 SPU 的类型。

通道加载因子 = SPU 上锚定的隧道数/流 RT 线程总数。

动态隧道基于循环算法定位在不同的 Spu 上。新配置的动态隧道不能保证锚定在新 SPC 上。

从 Junos OS Release 18.2 R2 和 18.4 R1 开始,在安装 SPC3-SPC-4-15-320 (SRX5K-SPC)和 SPC2 卡时,仅在 SRX5K-SPC-SPC3 (SPC3)上支持的所有现有 IPsec VPN 功能都将在 SRX5400、SRX5600 和 SRX5800 设备上受到支持。在机箱集群模式或独立模式中操作设备。

同时安装 SPC2 和 SPC3 卡时,您可以使用show security ipsec tunnel-distribution命令验证不同 spu 上的通道映射。

使用命令show security ike tunnel-map查看不同 spu 上的通道映射,仅插入 SPC2 卡。此命令show security ike tunnel-map在安装 SPC2 和 SPC3 卡的环境中无效。

插入 SPC3 卡:准则和限制:

  • 在机箱集群中,如果其中一个节点具有1个 SPC3 卡,另一个节点具有2个 SPC3 卡,则不支持到具有1个 SPC3 卡的节点的故障转移。

  • 您必须将 SPC3 或 SPC2 放在比下插槽中存在的当前 SPC3 更高的插槽中。

  • 要使 SPC3 ISHU 正常工作,必须将新 SPC3 卡插入更高的插槽编号。

  • 在 SRX5800 机箱集群上,由于电源和散热分配限制,不得将 SPC3 卡插入最高插槽(插槽11)中。

  • 我们不支持 SPC3 热卸下。

在 SRX5K-SPC 上启用 IPsec VPN 功能集-SPC3 服务处理卡

使用 SRX5K-SPC3 卡的 SRX5000 系列设备需要安装软件包并启用任何 junos-ike IPsec VPN 功能。默认情况下,软件包安装在 junos-ike Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中,用于带 RE3 的 SRX5000 系列设备。因此,默认情况下,进程在路由引擎上运行,而不是 ikedikemd IPsec 密钥管理守护程序 (kmd)。

如果要使用 KMD 进程来启用 IPsec VPN 功能而非默认配置,IKE 运行 request system software delete junos-ike 命令。

要检查已安装junos-ike的软件包,请使用以下命令:

使用 SRX5K-SPC3 和带新软件包的 vSRX 实例的 SRX5000 系列设备的 IPsec VPN 功能支持

本主题为您提供 IPsec VPN 功能和配置的摘要,这些功能和配置受带 SPC3 和 vSRX 实例的 SRX5000 系列设备支持。

IPsec VPN 功能由两个进程以及 ikedikemd SRX5K-SPC3 和 vSRX支持。和 的 iked 单个 ikemd 实例将一次路由引擎运行。

默认情况下,软件包安装在 Junos OS 版本 Junos-ike 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中,适用于具有 RE3 的 SRX5000 系列设备,并且 和 进程都运行在路由引擎上 ikedikemd

ikemd 重新启动日常引擎中的进程,请使用 restart ike-config-management 命令。

iked 重新启动 路由引擎 请使用 restart ike-key-management 命令。

如果要使用 KMD 进程来启用 IPsec VPN 功能而非默认配置,IKE 运行 request system software delete junos-ike 命令。

不支持 IPsec VPN 功能

要确定某个功能是否受特定平台或 Junos OS 版本支持,请参阅功能资源管理器

表 5: SRX 系列设备和虚拟实例上的 IPsec VPN vSRX支持

功能

支持带 SRX5K-SPC3 和多实例的 SRX 5000 vSRX系列设备

自动发现 VPN (ADVPN)。

AutoVPN 协议无关多播(PIM)点对多点模式。

对单播流量的 AutoVPN RIP 支持。

St0 接口上的 OSPFv3 路由上的双向转发检测(BFD)。

在两个vSRX

在 IPsec Vpn 上配置转发类。

配置模式(草稿-dukes-ike 模式-cfg-03)。

死对等检测(DPD)和 DPD 网关故障转移。

本版本不支持 DPD 网关vSRX。

AH 传输模式。

组 VPN。

IKE 的空闲计时器。

IPsec SA 的空闲计时器。

无效的 SPI 响应。

IKE SA 的生存期,以 kb 为单位。

逻辑系统。

手动 VPN。

多播信息流。

St0 接口上的邻居发现协议(NDP)。

IPsec datapath 验证的数据包大小配置。

通道上 IPv6 碎片的数据包重新排序。

点对多点通道接口。

基于策略的 IPsec VPN。

远程访问。

通过 IPsec 的 RIP。

动态 VPN 配置的支持组 IKE Id。

SRX 上支持

IPsec 的 TOS/DSCP (外部/内部)。

SRX 上支持

单播静态和动态(RIP、OSPF、BGP)路由。

SRX 上支持

VPN 监控。

XAuth

了解辐射型 Vpn

如果创建两个在设备上终止的 VPN 隧道,则可以设置一对路由,以便设备将流量定向到另一个隧道。您还需要创建策略以允许信息流从一个通道传递到另一个。这种排列称为集中式 VPN。(请图 4参阅。)

您还可以配置多个 Vpn 并在任意两个隧道之间路由流量。

SRX 系列设备仅支持基于路由的辐射型功能。

图 4: 中心辐射型 VPN 配置中的多个隧道中心辐射型 VPN 配置中的多个隧道
发布历史记录表
版本
说明
20.1R2
默认情况下,软件包安装在 junos-ike Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 和更高版本中,用于带 RE3 的 SRX5000 系列设备。因此,默认情况下,进程在路由引擎上运行,而不是 ikedikemd IPsec 密钥管理守护程序 (kmd)。
19.1R1
从Junos OS版本19.1R1,SRX 系列设备支持第 15 组、第 16 组和 21 组 DH。