监控 IPsec VPN 会话
了解 VPN 监控
VPN 监控使用 ICMP 回显请求(或 ping)来确定 VPN 隧道是否正常运行。启用 VPN 监控后,安全设备将通过 VPN 隧道向对等网关或隧道另一端的指定目标发送 ping。默认情况下,Ping 的发送间隔为 10 秒,最多可连续 10 次。如果连续 10 次 ping 后未收到回复,则 VPN 将被视为关闭,IPsec 安全关联 (SA) 将被清除。
通过在 [edit security ipsec vpn vpn-name] 层次结构级别配置vpn-monitor选项,为指定的 VPN 启用 VPN 监控。对等网关的 IP 地址为默认目标;但是,您可以在隧道的另一端指定不同的目标 IP 地址(例如服务器)。本地 隧道端点 是默认的源接口,但您可以指定不同的接口名称。
SRX5400、SRX5600 和 SRX5800 设备不支持对外部连接设备(如 PC)进行 VPN 监控。VPN 监控的目标必须是 SRX5400、SRX5600 或 SRX5800 设备上的本地接口。
VPN 监控 optimized 选项仅在有传出流量且没有通过 VPN 隧道的传入流量时发送 ping。如果存在通过 VPN 隧道的传入流量,则安全设备会认为该隧道处于活动状态,不会向对等方发送 ping。配置选项 optimized 可以节省安全设备上的资源,因为 ping 仅在需要确定对等实时线路时才会发送。发送 pings 还可以激活成本高昂的备份链路,否则这些链路将不使用。
您可以配置发送 ping 的间隔以及在没有回复的情况下发送的连续 ping 数,然后再将 VPN 视为关闭。这些配置分别在 interval [edit security ipsec vpn-monitor-options] 层次结构级别上配置了选项和threshold选项。
如果对等方根据数据包的源或目标 IP 地址不接受 ping 数据包,则 VPN 监控可能会导致隧道在某些 VPN 环境中发生翻动。
了解 IPsec 数据路径验证
概述
默认情况下,在基于路由的 VPN 中,在点对点模式下配置的安全隧道 (st0) 接口的状态基于 VPN 隧道的状态。建立 IPsec SA 后不久,与 st0 接口关联的路由就会安装在 Junos OS 转发表中。在某些网络拓扑中,例如传输防火墙位于 VPN 隧道端点之间,传输防火墙可能会阻止为 st0 接口上已建立的 VPN 隧道使用活动路由的 IPsec 数据流量。这可能会导致流量丢失。
启用 IPsec 数据路径验证时,在验证数据路径之前,st0 接口不会启动和激活。验证配置了 set security ipsec vpn vpn-name vpn-monitor verify-path 基于路由、站点到站点和动态端点 VPN 隧道的语句。
如果对等隧道端点前面有一个 NAT 设备,则对等隧道端点的 IP 地址将转换为 NAT 设备的 IP 地址。要使 VPN 监控 ICMP 请求到达对等隧道端点,您需要在 NAT 设备后面显式指定对等隧道端点的原始未转换 IP 地址。这是随配置一起 set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip 配置的。
从 Junos OS 15.1X49-D120 版开始,您可以配置在启动接口之前用于验证 IPsec 数据路径的 st0 数据包大小。使用 set security ipsec vpn vpn-name vpn-monitor verify-path packet-size 配置。可配置的数据包大小范围为 64 到 1350 字节;默认值为 64 个字节。
警告
可以为 VPN 监控操作配置的源接口和目标 IP 地址对 IPsec 数据路径验证没有影响。IPsec 数据路径验证中 ICMP 请求的来源是本地隧道端点。
启用 IPsec 数据路径验证后,VPN 监控会在启动 st0 接口后自动激活和使用。每当启用 IPsec 数据路径验证时,建议使用 set security ipsec vpn vpn-name vpn-monitor optimized 命令配置 VPN 监控优化选项。
如果在 IPsec 数据路径验证期间发生机箱群集故障切换,则新的活动节点将再次启动验证。在验证成功之前,st0 接口不会激活。
不会对 IPsec SA 密钥执行 IPsec 数据路径验证,因为重新密钥的 st0 接口状态不会改变。
在点对多点模式下配置的 st0 接口(与 AutoVPN、自动发现 VPN 和多个流量选择器一起使用)中,不支持 IPsec 数据路径验证。VPN 监控和 IPsec 数据路径验证不支持 IPv6 地址,因此 IPsec 数据路径验证不能与 IPv6 隧道一起使用。
了解全局 SPI 和 VPN 监控功能
您可以使用以下全局 VPN 功能监控和维护 VPN 的有效运行:
SPI — 当其中一个对等方发生故障时,安全关联 (SA) 中的对等方可能会变得不同步。例如,如果其中一个对等方重新启动,则可能发送错误的安全参数索引 (SPI)。您可以通过配置错误的 SPI 响应功能,使设备能够检测此类事件并重新同步对等方。
VPN 监控 — 您可以使用全局 VPN 监控功能定期向对等方发送互联网控制消息协议 (ICMP) 请求,以确定对等方是否可以访问。
了解 VPN 监控和 DPD
VPN 监控和失效对等方检测 (DPD) 是 SRX 系列设备上提供的功能,用于验证 VPN 对等设备的可用性。本节将比较这些功能的操作和配置。
即使设备上未配置 DPD,SRX 系列设备也会响应 VPN 对等方发送的 DPD 消息。您可以将 SRX 系列设备配置为向 VPN 对等方发起 DPD 消息。您还可以将 DPD 和 VPN 监控配置为在同一 SRX 系列设备上同时运行,但使用两种方法均可监控的对等方数量有所减少。
VPN 监控是一种 Junos OS 机制,它仅监控第 2 阶段安全关联 (SA)。在 [edit security ipsec vpn vpn-name] 层次结构级别使用vpn-monitor语句按 VPN 启用 VPN 监控。必须指定目标 IP 接口和源接口。该 optimized 选项使设备能够将流量模式用作对等实时线路的证据;ICMP 请求被抑制。
VPN 监控选项在 [edit security ipsec] 层次结构级别使用vpn-monitor-options语句配置。这些选项适用于启用了 VPN 监控的所有 VPN。您可以配置的选项包括将 ICMP 请求发送至对等方(默认为 10 秒)的间隔以及未收到响应而发送的连续 ICMP 请求数(默认为连续 10 个请求)。
DPD 是 RFC 3706 的实施,RFC 3706 是 一种基于流量的检测失效互联网密钥交换 (IKE) 对等方的方法。它在 IKE 级别运行,并根据 IKE 和 IPsec 流量活动监控对等方。
DPD 在单个 IKE 网关上配置, dead-peer-detection 语句位于 [edit security ike gateway gateway-name] 层次结构级别。您可以配置 DPD 操作模式。如果本地设备向对等方发送传出数据包后,在配置的间隔内没有传入 IKE 或 IPsec 流量,则默认(优化)模式会将 DPD 消息发送至对等方。其他可配置选项包括向对等方发送 DPD 消息的间隔(默认为 10 秒),以及未收到响应而发送的连续 DPD 消息数将被视为对等方不可用(默认为连续 5 个请求)。
了解失效对等方检测
失效对等方检测 (DPD) 是一种网络设备用于验证其他对等设备当前存在和可用性的方法。
您可以将 DPD 用作 VPN 监控的替代项。VPN 监控适用于单个 IPsec VPN,而 DPD 仅在单个 IKE 网关环境中配置。
设备通过向对等方发送加密 IKE 第 1 阶段通知有效负载(R-U-THERE 消息)并等待对等方发出 DPD 确认(R-U-THERE-ACK 消息)来执行 DPD 验证。仅当设备在指定的 DPD 间隔内未收到来自对等方的任何流量时,才会发送 R-U-THERE 消息。如果设备在此期间收到来自对等方的 R-U-THERE-ACK 消息,则认为对等方处于活动状态。如果设备从对等方收到隧道上的流量,它将为该隧道重置其 R-U-THERE 消息计数器,从而开始新的间隔。如果设备在间隔期间未收到 R-U-THERE-ACK 消息,则视为对等方已失效。当设备将对等方设备的状态更改为不工作时,设备将删除第 1 阶段安全关联 (SA) 和该对等方的所有第 2 阶段 SA。
SRX 系列设备支持以下 DPD 模式:
优化 — 在设备向对等方发送传出数据包后,如果在配置的间隔内没有传入 IKE 或 IPsec 流量,将触发 R-U-THERE 消息。这是默认模式。
探测空闲隧道 — 如果在配置的间隔内没有传入或传出 IKE 或 IPsec 流量,将触发 R-U-THERE 消息。R-U-THERE 消息会定期发送至对等方,直到出现流量活动。此模式有助于早期检测已关闭的对等方,并使隧道可用于数据流量。
为 VPN 配置多个流量选择器时,可以为同一 IKE SA 建立多个隧道。在这种情况下,如果与 IKE SA 关联的任何隧道空闲,探查空闲隧道模式会触发要发送的 R-U-THERE 消息,即使另一个隧道中可能存在同一 IKE SA 的流量也是如此。
始终发送 — 无论对等方之间的流量活动如何,R-U-THERE 消息都会按配置的间隔发送。
我们建议使用探测空闲隧道模式,而不是该
always-send模式。
一旦建立第 1 阶段 SA,DPD 计时器就会处于活动状态。IKEv1 和 IKEv2 协议的 DPD 行为相同。
您可以配置以下 DPD 参数:
间隔参数指定设备在发送 R-U-THERE 消息之前等待对等方流量的时间量(以秒为单位)。默认间隔为 10 秒。从 Junos OS 15.1X49-D130 版开始,R-U-THERE 消息发送至对等设备的允许间隔参数范围从 10 秒到 60 秒缩减至 2 秒,再缩短到 60 秒。当 DPD 间隔参数设置小于 10 秒时,最小阈值参数应为 3。
阈值参数指定在考虑对等方无效之前发送 R-U-THERE 消息的最大次数,而无需来自对等方响应。默认传输数为 5 倍,允许的传输范围为 1 到 5 次。
配置 DPD 之前,请注意以下注意事项:
将 DPD 配置添加到具有活动隧道的现有网关中时,将启动 R-U-THERE 消息,而无需清除第 1 阶段或第 2 阶段 SA。
从具有活动隧道的现有网关中删除 DPD 配置时,将停止这些隧道的 R-U-THERE 消息。IKE 和 IPsec SA 不受影响。
修改任何 DPD 配置选项(如模式、间隔或阈值)可更新 DPD 操作,而无需清除第 1 阶段或第 2 阶段 SA。
如果 IKE 网关配置了 DPD 和 VPN 监控,但未配置立即建立隧道的选项,则 DPD 不会启动第 1 阶段协商。配置 DPD 后,还必须同时配置立即建立隧道选项,以在无第 1 阶段和第 2 阶段 SA 可用时拆除 st0 接口。
如果 IKE 网关配置了多个对等 IP 地址和 DPD,但未能将第 1 阶段 SA 建立到第一个对等 IP 地址,则尝试使用下一个对等 IP 地址进行第 1 阶段 SA。只有在建立第 1 阶段 SA 后,DPD 才会处于活动状态。
如果 IKE 网关配置了多个对等 IP 地址和 DPD,但 DPD 因当前对等方 IP 地址而失败,则第 1 阶段和第 2 阶段 SA 将被清除,并触发到下一对等 IP 地址的故障转移。
由于同时协商,同一对等方可以存在多个第 1 阶段或第 2 阶段 SA。在这种情况下,所有第 1 阶段 SA 都会发送 R-U-THERE 消息。如果连续配置数未收到 DPD 响应,将清除第 1 阶段 SA 和相关第 2 阶段 SA(仅适用于 IKEv2)。
另请参阅
了解隧道事件
当出现与 VPN 相关的网络问题时,隧道出现后,只会跟踪隧道状态。在隧道启动之前,许多问题都可能发生。因此,现在可以跟踪成功的 IPsec SA 协商、IPsec 密钥和 IKE SA 密钥等成功事件,而不是仅跟踪隧道状态、隧道关闭问题或协商失败。这些事件称为隧道事件。
对于第 1 阶段和第 2 阶段,会跟踪给定隧道的协商事件以及 AUTHD 或 PKID 等外部守护程序中发生的事件。当隧道事件多次发生时,只有一个条目会维护更新时间和该事件的发生次数。
总的来说,我们跟踪了 16 个活动:第 1 阶段有 8 个事件,第 2 阶段有 8 个事件。某些事件可能会重新发生并填满事件内存,导致重要事件被移除。为避免覆盖,除非隧道关闭,否则不会存储事件。
以下特别活动属于此类别:
IPsec SA 已过期的生存期(以 KB 为单位)
IPsec SA 的硬生存期已过期
IPsec SA 删除从对等方接收的有效负载,清除相应的 IPsec SA
清除未使用的冗余备份 IPsec SA 对
IPsec SA 已清除,因为相应的 IKE SA 已被删除
AutoVPN 隧道会动态创建和移除,因此与这些隧道对应的隧道事件将很短。有时,这些隧道事件无法与任何隧道关联,因此会使用系统日志记录进行调试。
另请参阅
st0 数据包大小。