IPsec VPN 概述
阅读本主题,了解 SRX 系列防火墙上的 IKE 和 IPsec 数据包处理以及 IPsec VPN 拓扑结构。了解服务处理卡、加密加速、路由协议支持和 IKEED 进程支持。
VPN 是一种专用网络,可使用公共网络连接两个或两个以上的远程站点。VPN 可使用通过公共网络路由(以隧道方式发送)的虚拟连接,而非网络之间的专用连接。IPsec VPN 是一项协议,由建立 VPN 连接的一组标准构成。
VPN 可提供一种方法,让远程计算机通过公共 WAN(如互联网)安全地进行通信。
一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。为了在通过 WAN 时对 VPN 通信进行保护,两个参与方会创建一个 IPsec 隧道。
术语 隧道 不表示隧道模式(请参阅隧道 模式中的数据包处理)。而是指 IPsec 连接。
使用 功能资源管理器 确认平台和版本对特定功能的支持。
查看 特定于平台的 IPsec VPN 行为 部分,了解与您的平台相关的注意事项。
有关更多信息,请参阅 “其他平台信息” 部分。
SRX 系列防火墙上的 IPsec VPN 拓扑结构
以下是 Junos 操作系统 (OS) 支持的一些 IPsec VPN 拓扑结构:
站点到站点 VPN — 将组织中的两个站点连接在一起,并允许站点之间的安全通信。
中心辐射型 VPN — 将分支机构办公室连接到企业网络中的企业办公室。您还可以使用此拓扑结构通过中枢站点发送流量,从而将分支站点连接在一起。
远程访问 VPN — 允许用户连接到公司办公室及其资源。此拓扑有时称为 end-to-site tunnel。
也可以看看
比较基于策略的 VPN 和基于路由的 VPN
阅读本主题可了解基于策略的 VPN 与基于路由的 VPN 之间的差异。
了解基于策略的 VPN 和基于路由的 VPN 之间的区别以及为何一种可能优于另一种非常重要。
表 1 列出了基于路由的 VPN 与基于策略的 VPN 之间的差异。
| 基于路由的 VPN |
基于策略的 VPN |
|---|---|
| 对于基于路由的 VPN,策略不会特定引用某个 VPN 隧道。 |
使用基于策略的 VPN 隧道时,隧道被视为一个对象,该对象与源、目标、应用程序和操作相结合,一同构成允许 VPN 流量的隧道策略。 |
| 策略引用目标地址。 |
在基于策略的 VPN 配置中,隧道策略会按名称来特定引用某个 VPN 隧道。 |
| 您创建的基于路由的 VPN 隧道数量受路由条目数量或设备支持的 st0 接口数量所限制(以两个数量中较低的数字为准)。 |
可创建的基于策略的 VPN 隧道数量受设备支持的策略数量限制。 |
| 当您想在节省隧道资源的同时对 VPN 流量设置精细限制时,基于路由的 VPN 隧道配置是一个不错的选择。 |
尽管您可借助基于策略的 VPN 来创建多个引用同一 隧道的隧道策略,但每个隧道策略对均会与远程对等方创建一个单独的 IPsec 安全关联 (SA)。每个 SA 均可计为一个单独的 VPN 隧道。 |
| 通过基于路由的 VPN 方法,流量的处理规则不会与其传输方式叠加。您可以配置数十个策略来调节通过两个站点之间的单个 VPN 隧道的流量信息流,并且只有一个 IPsec SA 在运行。此外,基于路由的 VPN 配置允许您创建引用通过 VPN 隧道到达的目标的策略,其中操作被拒绝。 |
在基于策略的 VPN 配置中,操作必须是被允许的,并且必须包含一个隧道。 |
| 基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。 |
动态路由信息交换在基于策略的 VPN 中不受支持。 |
| 基于路由的配置用于中心辐射型拓扑。 |
基于策略的 VPN 不能用于中心辐射型拓扑。 |
| 对于基于路由的 VPN,策略不会特定引用某个 VPN 隧道。 |
如果隧道无法连接运行动态路由协议的大型网络,并且您不需要保留隧道或定义各种策略来过滤通过隧道的流量,则基于策略的隧道是最佳选择。 |
| 基于路由的 VPN 不支持远程访问(拨号)VPN 配置。 |
远程访问(拨号)VPN 配置需要基于策略的 VPN 隧道。 |
| 基于路由的 VPN 可能无法与某些第三方供应商正常协作。 |
如果第三方要求为每个远程子网设置单独的 SA,则可能需要基于策略的 VPN。 |
| 当安全设备通过路由查找功能,查找将流量发送到某个地址所必须的接口时,它将通过绑定到特定 VPN 隧道的安全隧道接口 ( 借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,并将策略视为允许或拒绝传输此流量的方法。 |
借助基于策略的 VPN 隧道,您可以在构建策略时将隧道视为一种构成元素。 |
| 基于路由的 VPN 支持 st0 接口的 NAT。 |
如果隧道流量需要 NAT,则无法使用基于策略的 VPN。 |
基于路由和基于策略的 VPN 都支持代理 ID。基于路由的隧道还提供多个流量选择器的使用,也称为多代理 ID。流量选择器是 IKE 对等方之间达成的协议,如果流量与一对指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议匹配,则允许流量通过隧道。您在基于路由的特定 VPN 中定义流量选择器,这可能会导致多个第 2 阶段 IPsec SA。仅允许符合流量选择器的流量通过 SA。当远程网关设备是非瞻博网络设备时,通常需要使用流量选择器。
也可以看看
基于策略的 VPN 与基于路由的 VPN 的对比
表 2 总结了基于策略的 VPN 与基于路由的 VPN 之间的差异。
基于策略的 VPN |
基于路由的 VPN |
|---|---|
在基于策略的 VPN 中,隧道被视为一个对象,该对象与源、目标、应用程序和操作相结合,一同构成允许 VPN 流量的隧道策略。 |
基于路由的 VPN 策略不会特定引用某个 VPN 隧道。 |
隧道策略会按名称来特定引用某个 VPN 隧道。 |
路由器会根据目标 IP 地址确定通过隧道发送哪些流量。 |
可创建的基于策略的 VPN 隧道数量受设备可支持的隧道数量限制。 |
您创建的基于路由的 VPN 隧道数量受 st0 接口数量(对于点对点 VPN)或设备支持的隧道数量所限制(以两个数量中较低的数量为准)。 |
尽管您可借助基于策略的 VPN 来创建多个引用同一 隧道的隧道策略,但每个隧道策略对均会与远程对等方共同创建一个单独的 IPsec SA。每个 SA 均可计为一个单独的 VPN 隧道。 |
由于路由(而非策略)决定了哪些流量会通过隧道,因此单个 SA 或 VPN 可支持多个策略。 |
在基于策略的 VPN 中,操作必须是被允许的,并且必须包含一个隧道。 |
在基于路由的 VPN 中,流量的处理规则不会与其传输方式叠加。 |
动态路由信息交换在基于策略的 VPN 中不受支持。 |
基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。 |
如果需要采用高出路由所能提供的细粒度,才能指定发送到隧道的流量,则使用基于策略且具有安全策略的 VPN 是最佳选择。 |
基于路由的 VPN 可使用路由来指定发送到隧道的流量;策略不会特别引用某个 VPN 隧道。 |
借助基于策略的 VPN 隧道,您可以在构建策略时将隧道视为一种构成元素。 |
当安全设备通过路由查找功能,查找将流量发送到某个地址所必须的接口时,它将通过安全隧道 (st0) 接口查找路由。 借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,并将策略视为允许或拒绝传输此流量的方法。 |
了解 IKE 和 IPsec 数据包处理
IPsec VPN 隧道包含隧道设置和应用安全。在隧道设置期间,对等方会建立安全关联 (SA),用于定义确保两者之间传输安全流量的参数。请参阅 IPsec 概述。建立隧道后,IPsec 将应用 SA 在隧道设置过程中定义的安全参数,对两个隧道端点之间传输的流量进行保护。在 Junos OS 实现中,IPsec 可在隧道模式中得到应用,该模式支持封装安全性有效负载 (ESP) 和认证头 (AH) 协议。
本主题包含以下部分:
隧道模式中的数据包处理
IPsec 以两种模式之一运行:传输或隧道。当隧道的两端都是主机时,可使用任一模式运行 IPsec。如果隧道中至少有一个端点为安全网关(如 Junos OS 路由器或防火墙),则必须使用隧道模式。为支持 IPsec 隧道,瞻博网络设备始终在隧道模式下运行。
在隧道模式下,整个原始 IP 数据包(有效负载和报头)封装在另一个 IP 有效负载中,并在其后附加一个新报头,如 图 1 所示。其可对整个原始数据包进行加密和认证。可通过认证头 (AH) 协议对 AH 和新报头进行验证。使用封装安全性有效负载 (ESP) 协议,还可以对 ESP 报头进行验证。
在站点到站点 VPN 中,新的报头使用的源地址和目的地址即为出接口的 IP 地址。参见 图 2。
中的站点到站点 VPN
在拨号 VPN 中,隧道的 VPN 拨号客户端上没有隧道网关;隧道直接延伸至客户端本身(参见 图 3)。在这种情况下,在拨号客户端发送的数据包上,新报头和封装的原始报头具有相同的 IP 地址:客户端计算机的 IP 地址。
某些 VPN 客户端(例如 Netscreen Remote)使用内部虚拟 IP 地址(也称为“粘性地址”)。Netscreen-Remote 允许您对虚拟 IP 地址进行定义。在此种情况下,内部虚拟 IP 地址即为源 IP 地址,其位于客户端流量的原始包头中,而 ISP 动态分配给拨号客户端的 IP 地址则是外部标头中的源 IP 地址。
中的拨号 VPN
也可以看看
跨 SPU 分配 IKE 和 IPsec 会话
查看 特定于平台的 SPU VPN 处理行为 部分,了解与您的平台相关的注意事项。
在 SRX 系列防火墙中,IKE 可为 IPsec 提供隧道管理并可对终端实体进行身份验证。IKE 可执行 Diffie-Hellman (DH) 密钥交换,以便在网络设备之间生成 IPsec 隧道。IKE 生成的 IPsec 隧道可用于对 IP 层网络设备之间的用户流量进行加密、解密和身份验证。
通过在平台的多个服务处理单元 (SPU) 之间分配 IKE 和 IPsec 工作负载,即可创建 VPN。对于站点到站点隧道,负载最小的 SPU 会被选为锚点 SPU。如果多个 SPU 具有相同的最小负载,则可以将其中任一 SPU 选为锚点 SPU。此处的负载与在 SPU 上锚定的站点到站点网关或手册 VPN 隧道的数量相对应。对于动态隧道,新建立的动态隧道会使用轮询算法选择 SPU。
在 IPsec 中,工作负载由分发 IKE 的相同算法分配。给定 VPN 隧道终结点对的第 2 阶段 SA 由特定 SPU 专门负责,属于此第 2 阶段 SA 的所有 IPsec 数据包将被转发至该 SA 的锚点 SPU,以便进行 IPsec 处理。
可通过一个或多个 IKE 会话运行多个 IPsec 会话(第 2 阶段 SA)。系统会根据锚定底层 IKE 会话的 SPU 选择锚定 IPsec 会话的 SPU。因此,通过单个 IKE 网关运行的所有 IPsec 会话均由相同的 SPU 提供服务,并且不会在多个 SPU 间均衡负载。
表 3 显示了防火墙的示例,其中三个 SPU 通过三个 IKE 网关运行七个 IPsec 隧道。
| SPU |
IKE 网关 |
IPsec 隧道 |
|---|---|---|
| SPU0 |
IKE-1 |
IPsec-1 |
| IPsec-2 |
||
| IPsec-3 |
||
| SPU1 |
IKE-2 |
IPsec-4 |
| IPsec-5 |
||
| IPsec-6 |
||
| SPU2 |
IKE-3 |
IPsec-7 |
三个 SPU 中的每个 SPU 对 IKE 网关的负载都一样。如果创建了新的 IKE 网关,则可以选择 SPU0、SPU1 或 SPU2 来锚定 IKE 网关及其 IPsec 会话。
搭建以及拆除现有 IPsec 隧道不会影响底层 IKE 会话或现有 IPsec 隧道。
使用以下 show 命令查看每个 SPU 的当前隧道数: show security ike tunnel-map。
使用命令选项查看 summary 每个网关的锚点: show security ike tunnel-map summary。
插入式服务处理卡支持 VPN
高端 SRX 系列防火墙具有基于机箱的分布式处理器架构。可基于服务处理卡 (SPC) 的数量对流处理能力进行共享。您可以通过安装新的 SPC 来扩展设备的处理能力。
查看 平台特定的SRX5000线 SPC 行为 部分,了解与您的平台相关的注意事项。
有关详细信息,请参阅 SRX5000 Line 中 kmd 和 iked 流程的附加平台信息 部分。
在高端 SRX 系列机箱群集中,您可以在设备上插入 SPC,而不会影响或中断现有 IKE 或 IPsec VPN 隧道上的流量。
您可以将 SPC3 或 SPC2 卡插入包含 SPC3 卡的现有机箱中。您只能将卡插在机箱上比现有 SPC3 卡更高的插槽中。
但是,现有隧道无法使用新 SPC 服务处理单元 (SPC) 的处理能力。新的 SPU 可锚定新建立的站点到站点的动态隧道。但是无法保证能够在新 SPU 上锚定新配置的隧道。
站点到站点隧道可根据负载均衡算法锚定在不同的 SPU 上。负载均衡算法取决于每个 SPU 使用的流式线程数量。属于相同本地和远程网关 IP 地址的隧道可锚定在与 SPU 使用不同流式 RT 线程的同一 SPU 上。具有最小负载的 SPU 会被选为锚点 SPU。每个 SPU 均会保留此特定 SPU 中托管的流式 RT 线程数。每个 SPU 上托管的流式 RT 线程数取决于 SPU 的类型。
隧道负载因数 = SPU 上锚定的隧道数 / SPU 使用的流式 RT 线程总数。
系统可根据轮询算法将动态隧道锚定在不同的 SPU 上。无法保证能够在新 SPC 上锚定新配置的动态隧道。
同时安装 SPC2 和 SPC3 卡时,您可以使用命令 show security ipsec tunnel-distribution 验证不同 SPU 上的隧道映射。
仅插入 SPC2 卡时,可使用该命令 show security ike tunnel-map 查看不同 SPU 上的隧道映射。在已安装 SPC2 和 SPC3 卡的环境中,该命令 show security ike tunnel-map 无效。
插入 SPC3 卡:准则和限制:
-
在机箱群集中,如果其中一个节点具有 1 个 SPC3 卡,另一个节点有 2 个 SPC3 卡,则不支持将故障切换到具有 1 个 SPC3 卡的节点。
-
您必须将 SPC3 或 SPC2 插入现有机箱中的较高插槽中,其位置要高于当前 SPC3 所在的较低插槽。
-
要使 SPC3 ISHU 正常工作,则必须将新的 SPC3 卡插入编号更高的插槽。
-
瞻博网络不支持对 SPC3 进行热插拔。
也可以看看
具有 iked 进程的 IPsec VPN
iked 和 ikemd 这两个进程支持 SRX 系列防火墙上的 IPsec VPN 功能。一次在路由引擎上运行一个 iked 和 ikemd 实例。
使用 junos-ike package,防火墙使用 iked 进程运行 IPsec VPN 服务。SRX 系列防火墙支持 junos-ike 包包含多个版本。
有关更多信息,请参阅 包支持的其他 junos-ike 平台信息 部分。
在路由引擎上运行的 iked 和 ikemd 进程都随软件包一起 junos-ike 提供。
要在 SRX 系列防火墙上安装软件 junos-ike 包,请使用以下命令:
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
要在路由引擎中重新启动 ikemd 进程,请使用命令 restart ike-config-management 。
要在路由引擎中重新启动 iked 进程,请使用命令 restart ike-key-management 。
安装软件包时 junos-ike ,如果忽略指定的 Junos OS 版本,可能会导致不受支持的功能无法按预期运行。
要在 SRX 系列防火墙上使用旧版 kmd 进程操作 IPsec VPN 功能,请运行命令 request system software delete junos-ike 并重新启动设备。
要检查已安装 junos-ike 的软件包,请使用以下命令:
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
iked 进程不支持 IPsec VPN 功能
本节汇总介绍 SRX 系列防火墙不支持的 IPsec VPN 功能。
表 4 总结了运行 IKE 进程的 SRX 系列防火墙和 vSRX 虚拟防火墙上不支持的 IPsec VPN 功能。
| 特性 |
支持可用性 |
|---|---|
| AutoVPN 协议无关组播 (PIM) 点对多点模式。 |
是的,没错但 vSRX 3.0 上可以获得支持 |
| 在 IPsec VPN 上配置转发类。 |
否 |
| 组 VPN。 |
否 |
| IPsec 数据通路验证数据包大小配置。 |
否 |
| 基于策略的 IPsec VPN。 |
否 |
密码加速支持
查看 特定于平台的加密加速行为 部分,了解与您的平台相关的注释。
有关详细信息,请参阅 有关加密加速支持的其他平台信息 部分。
Junos OS 支持加速对硬件加密引擎的加密操作。SRX 系列防火墙可以将 DH、RSA 和 ECDSA 加密操作卸载到硬件加密引擎。
使用 junos-ike 软件包时,防火墙可使用 iked 进程运行 IPsec VPN 服务。防火墙需要 iked 进程作为控制平面软件来安装和启用高级 IPsec VPN 功能。默认情况下,由于 junos-ike 软件包,防火墙会在路由引擎上运行 iked 和 ikemd 进程,而不是 IPsec 密钥管理守护程序 (kmd)。
防火墙支持各种密码的硬件加速。
也可以看看
IPsec VPN 隧道上的路由协议支持
防重放窗口
查看 “特定于平台的防重播窗口行为” 部分,了解与平台相关的注意事项。
在 SRX 系列防火墙上, anti-replay-window 默认启用,窗口大小值为 64。
要配置窗口大小,请使用新 anti-replay-window-size 选项。根据配置的 验证 anti-replay-window-size 传入数据包是否为重放攻击。
您可以在两个不同的级别进行配置 replay-window-size :
-
Global level— 在 [
edit security ipsec] 层级配置。例如:
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
VPN object— 在 [
edit security ipsec vpn vpn-name ike] 层级配置。例如:
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
如果在两个级别都配置了防重放,则为 VPN 对象级别配置的窗口大小优先于在全局级别配置的窗口大小。如果未配置防重放,则窗口大小默认为 64。
要禁用 VPN 对象上的防重放窗口选项,请在 [edit security ipsec vpn vpn-name ike] 层级使用命令set no-anti-replay。您无法在全局级别禁用防重放。
您不能同时 anti-replay-window-size 配置 VPN 对象上的 和 no-anti-replay 。
也可以看看
了解中心辐射型 VPN
如果创建两个可在设备上终止的 VPN 隧道,则可以设置一对路由,以便此设备能够在一个隧道退出时,将其流量引导至另一个隧道。您还需要创建相应的策略,以允许流量从一个隧道传递到另一个。采用此部署方式的 VPN 称为中心辐射型 VPN。(见 图 4。
您还可以配置多个 VPN 并在任意两个隧道之间路由流量。
SRX 系列防火墙仅支持基于路由的中心辐射型网络拓扑功能。
中的多个隧道
也可以看看
特定于平台的 IPsec VPN 行为
使用 功能资源管理器 确认平台和版本对特定功能的支持。
有关更多信息,请参阅 “其他平台信息” 部分。
使用下表查看平台的特定于平台的行为。
特定于平台的 SPU VPN 处理行为
| 平台 | 差异 |
|---|---|
| SRX 系列 |
|
特定于平台的SRX5000线 SPC 行为
| 平台 | 差异 |
|---|---|
| SRX 系列 |
|
特定于平台的加密加速行为
| 平台 | 差异 |
|---|---|
| SRX 系列 |
|
特定于平台的防重放窗口行为
| 平台 | 差异 |
|---|---|
| SRX 系列 |
|
其他平台信息
使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持其他平台。
| 支持的进程 | SRX5000线 |
|---|---|
| IKED进程 | 支持两个选项:
|
| KMD 流程 |
|
junos-ike 文件包 |
SRX1500 | SRX1600SRX2300 | SRX4100、SRX4200、SRX4600 | SRX4300 | SRX4700 | 采用 SPC3 的 SRX5000 系列 | vSRX 3.0 |
|---|---|---|---|---|---|---|---|
| 默认 | 25.2R1 及更高版本 | 23.4R1 及更高版本 | 25.2R1 及更高版本 | 24.2R1 及更高版本 | 24.4R1 及更高版本 |
19.4R1 及更高版本(适用于 RE3) | 25.2R1 及更高版本 |
| 可选 | 22.3R1 及更高版本 | 不适用 | 22.3R1 及更高版本 | 不适用 | 不适用 | 18.2R1 及更高版本(适用于 RE2) | 20.3R1 及更高版本 |
| 密码 | SRX1500 (kmd) | SRX1500 (已接入) | SRX4100SRX4200(公里) | SRX4100SRX4200(已连接) | SRX4600(公里) | SRX4600(已接入) | 采用 SPC3(iked) 的 SRX5000 系列 | vSRX 3.0(公里/天) | vSRX 3.0(IKE) |
|---|---|---|---|---|---|---|---|---|---|
| DH(组 1、2、5、14) | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| DH(第 19、20 组) | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| DH(第 15、16 组) | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| DH 组 21 | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| DH 组 24 | 是 | 是 | 是 | 是 | 是 | 是 | 否 | 否 | 否 |
| RSA | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| ECDSA (256, 384, 521) | 否 | 是 | 否 | 是 | 否 | 是 | 是 | 是 | 是 |
| IPsec VPN 上的 OSPF |
SRX300SRX320 SRX340、SRX345、SRX380 |
SRX550 HM |
SRX1500 |
SRX4100、SRX4200、SRX4600 |
采用 SPC3的 SRX5000 系列SRX5000采用 SPC2 的系列 |
混合模式SRX5000线路 (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
| P2P 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
| 使用 IPv6 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
|
| P2MP 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
| 使用 IPv6 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
|
| IPsec VPN 上的 OSPFv3 |
SRX300SRX320 SRX340、SRX345、SRX380 |
SRX550 HM |
SRX1500 |
SRX4100、SRX4200、SRX4600 |
采用 SPC3的 SRX5000 系列SRX5000采用 SPC2 的系列 |
混合模式SRX5000线路 (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
| P2P 中的 st0 |
使用 IPv4 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
|
| P2MP 中的 st0 |
使用 IPv4 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
|
| IPsec VPN 上的 BGP |
SRX300SRX320 SRX340、SRX345、SRX380 |
SRX550 HM |
SRX1500 |
SRX4100、SRX4200、SRX4600 |
采用 SPC3的 SRX5000 系列SRX5000采用 SPC2 的系列 |
混合模式SRX5000线路 (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
| P2P 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
|
| P2MP 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
否 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
否 |
|
| IPsec VPN 上的 PIM |
SRX300SRX320 SRX340、SRX345、SRX380 |
SRX550 HM |
SRX1500 |
SRX4100、SRX4200、SRX4600 |
采用 SPC3的 SRX5000 系列SRX5000采用 SPC2 的系列 |
混合模式SRX5000线路 (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
| P2P 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
| 使用 IPv6 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
|
| P2MP 中的 st0 |
使用 IPv4 地址 |
是 |
否 |
是 |
否 |
否 |
否 |
是的。不支持多线程。 |
否 |
| 使用 IPv6 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
|
| IPsec VPN 上的 RIP 协议 |
SRX300SRX320 SRX340、SRX345、SRX380 |
SRX550 HM |
SRX1500 |
SRX4100、SRX4200、SRX4600 |
采用 SPC3的 SRX5000 系列SRX5000采用 SPC2 的系列 |
混合模式SRX5000线路 (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
| P2P 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
|
| P2MP 中的 st0 |
使用 IPv4 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
| 使用 IPv6 地址 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
|
| IPsec VPN 上的 BFD |
SRX300SRX320 SRX340、SRX345、SRX380 |
SRX550 HM |
SRX1500 |
SRX4100、SRX4200、SRX4600 |
采用 SPC3的 SRX5000 系列SRX5000采用 SPC2 的系列 |
混合模式SRX5000线路 (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
| P2P 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
|
| P2MP 中的 st0 |
使用 IPv4 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
否 |
| 使用 IPv6 地址 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
否 |
|
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
junos-ike 软件包安装在 Junos OS 20.1R2、20.2R2、20.3R2、20.4R1 及更高版本中,适用于带有 RE3 的 SRX5000 系列。因此,默认情况下,
iked 和
ikemd 进程在路由引擎上运行,而不是 IPsec 密钥管理守护程序 (kmd)。