Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

互联网密钥交换 (IKE) 的

互联网密钥交换版本2(IKEv2)是一种基于 IPsec 的隧道协议,可在对等 VPN 设备之间提供安全 VPN 通信通道,并以受保护的方式定义 IPsec 安全关联(Sa)的协商和身份验证。

IKE IPsec 数据包处理

IKE为 IPsec 提供隧道管理并验证终端实体。IKE 执行 Diffie-hellman (DH)密钥交换,在网络设备之间生成 IPsec 隧道。IKE 生成的 IPsec 隧道用于对 IP 层网络设备之间的用户流量进行加密、解密和身份验证。

IKE 数据包处理

当一个明文数据包到达需要瞻博网络且该隧道不存在活动第 2 阶段 SA 时,Junos OS将开始IKE协商并丢弃该数据包。IP 数据包标头中的源和目标地址分别是本地和远程 IKE 网关的。在 IP 数据包有效负载中,UDP 分段封装了 ISAKMP (IKE)数据包。第 1 阶段IKE第 2 阶段,数据包的格式相同。请参阅 图 1

同时,源主机再次发送丢弃的数据包。通常,第二个数据包到达时,IKE协商已完成,Junos OS在转发之前使用 IPsec 保护数据包和会话的所有后续数据包。

图 1: IKE 数据包,用于阶段1和2IKE 数据包,用于阶段1和2

下一个负载字段包含一个数字,指示以下有效负载类型之一:

  • 0002 — SA 协商有效负载包含第 1 阶段或第 2 阶段 SA 的定义。

  • 0004 — 提议有效负载可以是第 1 阶段或第 2 阶段提议。

  • 0008 — 转换有效负载封装在封装在 SA 有效负载中提议有效负载中。

  • 0010 — 密钥交换 (KE) 有效负载包含执行密钥交换所需的信息,例如 DH 公共值。

  • 0020 —标识 (IDx) 有效负载。

    • 在第 1 阶段,IDii 表示发起方 ID,IDir 表示响应方 ID。

    • 在第 2 阶段,IDui 表示用户发起方,IDur 表示用户响应方。

    这些 Id 是 IKE ID 类型,例如 FQDN、U-FQDN、IP 地址和 ASN。1_DN。

  • 0040 —证书 (CERT) 有效负载。

  • 0080 — 证书请求 (CERT_REQ) 有效负载。

  • 0100—散列 (HASH) 有效负载包含特定散列函数的摘要输出。

  • 0200—签名 (SIG) 有效负载包含数字签名。

  • 0400 — 随机数 (Nx) 有效负载包含交换所需的一些伪随机数信息。

  • 0800 — 通知有效负载。

  • 1000 — ISAKMP 删除有效负载。

  • 2000 — 供应商 ID (VID) 有效负载可包含在第 1 阶段协商中的任意位置。Junos OS 使用它来标记对 NAT T 的支持。

每个 ISAKMP 负载都以相同的通用标头开头, 图 2如中所示。

图 2: 通用 ISAKMP 负载标头通用 ISAKMP 负载标头

可以将多个 ISAKMP 负载链接在一起,并在下一个标头字段中的值指示每个后续的负载类型。的值表示 0000 最后一个 ISAKMP 有效负载。有关图 3示例,请参阅。

图 3: 具有通用 ISAKMP 负载的 ISAKMP 标头具有通用 ISAKMP 负载的 ISAKMP 标头

IPsec 数据包处理

当IKE协商完成且两个 IKE 网关已建立第 1 阶段和第 2 阶段安全关联 (AS) 后,所有后续数据包均使用隧道进行转发。如果第 2 阶段 SA 在隧道模式下指定了封装安全协议 (ESP),则数据包将类似于 中所示的 图 4 数据包。设备会向起始主机发送的原始数据包添加两个附加报头。

如中图 4所示,发起主机构建的数据包包含负载、TCP 标头和内部 IP 报头(IP1)。

图 4: IPsec 数据包 — 隧道模式下的 ESPIPsec 数据包 — 隧道模式下的 ESP

路由器 IP 标头(IP2),其中 Junos OS 添加,包含作为目标 IP 地址的远程网关的 IP 地址,以及作为源 IP 地址的本地路由器的 IP 地址。Junos OS 还会在外部和内部 IP 报头之间添加 ESP 报头。ESP 报头中包含的信息允许远程对等方在收到数据包时正确处理。如所示图 5

图 5: 外部 IP 标头(IP2)和 ESP 标头外部 IP 标头(IP2)和 ESP 标头

下一个标头字段指示有效负载字段中的数据类型。在通道模式中,此值为4,表示有效负载中包含 IP 数据包。请参阅图 6

图 6: 内部 IP 标头(IP1)和 TCP 标头内部 IP 标头(IP1)和 TCP 标头

企业IKE简介Junos OS

IKE提供了一种方法,用于交换密钥,以通过不安全的介质(例如互联网)安全地进行加密和认证。IKE 允许一对安全网关:动态建立安全通道,使安全网关能够通过它来交换通道和密钥信息。设置用户级别通道或 SA,包括通道属性协商和密钥管理。这些通道还可以在相同安全通道的顶部刷新和终止。IKE 采用 Diffie-Hellman 方法,可在 IPsec 中选用(可在端点上手动输入共享密钥)。

IKEv2 包括对以下内容的支持:

  • 基于路由的 Vpn。

  • 站点到站点 Vpn。

  • 死对等方检测。

  • 机箱集群

  • 预共享密钥认证。

  • 基于证书的身份验证。

  • 子 Sa。IKEv2 子 SA 称为 IKEv1 中的第2阶段 SA。在 IKEv2 中,如果没有底层 IKE SA,就不能存在子 SA。

  • AutoVPN.

  • 动态端点 VPN。

  • 使用 IKEv2 的远程访问支持 EAP。

  • 流量选择器。

IKEv2 不支持以下功能:

  • 基于策略的 VPN。

  • VPN 监控。

  • IP 有效负载压缩协议(IPComp)。

在 Junos OS

VPN 对等方配置为 IKEv1 或 IKEv2。如果对等方配置为 IKEv2,则它的远程对等机启动 IKEv1 协商时,不能回退到 IKEv1。默认情况下,瞻博网络安全设备为 IKEv1 对等方。

使用 [ version v2-onlyedit security ike gateway gw-name] 层次结构级别的配置语句来配置 IKEv2。

IKE 版本显示在show security ike security-associationsshow security ipsec security-associations CLI 操作命令的输出中。

瞻博网络最多支持四个第 2 阶段协商提议,以便定义您将接受的一系列隧道参数的限制。Junos OS 提供预定义的标准、兼容和基本阶段2建议集。您还可以定义自定义第 2 阶段提议。

了解 IKEv2 配置有效负载

配置有效负载是互联网密钥交换 2 版 (IKEv2) 选项,用于将调配信息从响应方传播给发起方。IKEv2 配置有效负载仅支持基于路由的 Vpn。

RFC 5996,互联网密钥交换协议版本 2 (IKEv2))定义 15 个不同的配置属性,由响应方返回给发起方。 表 1 介绍了 SRX 系列设备上支持的 IKEv2 配置属性。

表 1: IKEv2 配置属性

属性类型

Description

长度

INTERNAL_IP4_ADDRESS

1

指定内部网络上的地址。可请求多个内部地址。响应者最多可发送请求的地址数。

0或4个字节

INTERNAL_IP4_NETMASK

2

指定内部网络 netmask 值。请求和响应消息中只允许有一个网掩码值(例如255.255.255.0),并且必须仅与 INTERNAL_IP4_ADDRESS 属性一起使用。

0或4个字节

INTERNAL_IP4_DNS

3

指定网络内 DNS 服务器的地址。可以请求多个 DNS 服务器。响应者可以使用零个或多个 DNS 服务器属性进行响应。

0或4个字节

INTERNAL_IP4_NBNS

4

指定网络内 NetBIOS 名称服务器(NBNS)的地址,例如 WINS 服务器。可以请求多个 NBNS 服务器。响应者可以使用零个或更多 NBNS 服务器属性进行响应。

0或4个字节

INTERNAL_IP6_ADDRESS

8

指定内部网络上的地址。可请求多个内部地址。响应者最多可发送请求的地址数。

0 或 17 个八位位元

INTERNAL_IP6_DNS

10

指定网络内 DNS 服务器的地址。可以请求多个 DNS 服务器。响应者可以使用零个或多个 DNS 服务器属性进行响应。

0 或 16 个八位元

对于为发起方提供配置信息的 IKE 响应程序,它必须从指定源(如 RADIUS 服务器)获取信息。配置信息也可通过 RADIUS 服务器从 DHCP 服务器返回。在 RADIUS 服务器上,用户信息不应包含身份验证密码。使用 [ aaa access-profile profile-nameedit security ike gateway gateway-name] 层次结构级别的配置将 RADIUS 服务器配置文件绑定到 IKE 网关。

从 Junos OS 版20.3R1 SRX5000 系列设备(带 SPC3 和 vSRX 新 IKED)开始,我们已将 IKEv2 配置有效负载改进为:

  • 支持 IPv4 和 IPv6 本地地址池。您也可将固定 IP 地址分配给对等方。

    在IKE期间,发起方向响应方请求 IPv4 地址、IPv6 地址、DNS 地址或 WINS 地址。响应方成功认证发起方之后,会从本地地址池或服务器RADIUS IP 地址。根据配置,此 IP 地址每次在对等方连接时都动态分配,或分配为固定 IP 地址。如果RADIUS服务器使用有帧池做出响应,Junos OS相应本地池根据配置分配 IP 地址或信息。如果同时配置本地地址池和RADIUS,则从RADIUS分配给的 IP 地址将优先于本地池。如果配置本地 IP 地址池,并且RADIUS服务器未返回任何 IP 地址,则本地池将 IP 地址分配给请求。

  • 为 引入 none 的附加选项 authentication-order 。请参阅身份验证顺序(访问配置文件)。

  • RADIUS核算启动和停止消息将通知隧道状态或对等方RADIUS服务器。这些消息可用于跟踪目的,或向 DHCP 服务器等子系统发送通知。

    确保服务器RADIUS核算开始或停止消息。另请确保 SRX 系列设备和服务器RADIUS具有相应的设置来跟踪这些消息。

  • IPv6 支持的引入允许使用配置有效负载的双堆栈隧道。在登录过程中,IKE IPv4 和 IPv6 地址发送请求。AAA成功分配了所有请求的地址,才允许登录。IKE所请求的 IP,则终止协商。

在基于路由的 VPN 中,安全通道(st0)接口运行于点对点或点对点模式。现在,点到多点或点到点模式支持通过 IKEv2 配置有效负载进行地址分配。对于点对多点接口,接口必须编号,并且配置有效负载中的地址 INTERNAL_IP4_ADDRESS 属性类型必须位于关联的点对多点接口的子网范围内。

从Junos OS版本20.1R1,您可以为安全网关配置的 IKEv2 配置有效负载请求配置IKE密码。1 到 128 个字符范围的通用密码允许管理员定义通用密码。当 SRX 系列设备使用 IKEv2 配置有效负载代表远程 IPsec 对等方请求 IP 地址时,此密码在 SRX 系列设备和 RADIUS 服务器之间使用。RADIUS在向 SRX 系列设备提供任何 IP 信息以用于配置有效负载请求之前,先匹配凭证。您可使用 [ ] 层次结构 config-payload-password configured-password 级别的配置语句 edit security ike gateway gateway-name aaa access-profile access-profile-name 配置通用密码。

SRX 系列设备和 RADIUS 服务器都必须配置相同的密码,并且 radius 服务器应该配置为使用密码认证协议 (PAP) 作为认证协议。如果没有这一点,隧道建立将不能成功。

图 7 显示了 IKEv2 配置有效负载的典型工作流程。

图 7: 典型 IKEv2 配置有效负载工作流程典型 IKEv2 配置有效负载工作流程

仅对点对多点安全通道(st0)接口支持 IKEv2 配置负载功能。点到多点接口必须编号,并且配置负载中提供的地址必须位于关联的点对多点接口的子网范围内。

了解 Pico 的单元部署

IKEv2 配置负载可用于将配置信息从 IKE 响应方(如 SRX 系列设备)传播到多个发起方,如蜂窝网络中的 LTE pico cell 基站。Pico 单元从工厂发货,并提供标准配置,使其能够连接到 SRX 系列设备,但 pico cell 配置信息存储在受保护网络内的一个或多个调配服务器上。在建立与调配服务器的安全连接之后,pico 单元会收到完整的调配信息。

引导和调配 pico 单元并将其引入服务所需的工作流程包括四个不同的阶段:

  1. 初始地址收购 - pico 单元出厂时提供以下信息:

    • SRX 系列设备的安全网关通道配置

    • 由制造商颁发的数字证书

    • 位于受保护网络内的调配服务器的完全限定域名(FQDN)

    Pico 单元格启动并获取用于从DHCP 服务器 IKE 协商的地址。然后,将使用此地址将通道构建到 SRX 系列设备上的安全网关。用于操作、管理和管理(OAM)信息流的地址也由 DHCP 服务器分配,以便在受保护的网络上使用。

  2. Pico Cell 调配 — PICo 单元使用分配的 OAM 信息流地址向受保护网络内的服务器请求其调配信息,通常是操作员证书、许可证、软件和配置信息。

  3. 重新启动 — pico 单元重新启动,并使用获取的调配信息,使其特定于服务提供商的网络和操作模式。

  4. 服务调配 — pico 单元进入服务时,将使用单个证书(包含可分辨名称 (DN) 和带 FQDN 的主题替代名称值),为 SRX 系列设备上的安全网关构建两个隧道:一个用于 OAM 流量,另一个用于第三代合作项目(3GPP)数据流量。

IKE提议

该IKE配置定义了建立与对等安全网关的安全IKE安全连接的算法和密钥。您可以配置一个或多个IKE提议。每个提议都是一IKE属性列表,用于IKE主机及其对等IKE连接。

要配置IKE提议,请包含 该语句,并指定 proposal [ edit security ike ] 层次结构级别的名称:

IKE策略

安全IKE策略定义了一组安全参数(IKE提议),用于在协议协商IKE。它可以定义对等地址以及该连接所需的提议。根据使用哪种认证方法,它会定义给定对等方或本地证书的预共享密钥。在 IKE协商IKE,IKE对等方上相同的策略。发起协商的对等方将其所有策略都发送到远程对等方,而远程对等方尝试查找匹配项。如果两个对等方的策略都有一个包含相同配置属性提议,则进行匹配。如果生存期不相同,则使用两个策略(从主机和对等方)之间的较短生存期。配置的预共享密钥必须与对等方匹配。

首先,配置一个或多个IKE提议;然后将这些提议与一个策略IKE关联。

要配置IKE策略,请包含 语句,并指定 policy [ edit security ike ] 层次结构级别的策略名称:

重新密钥和再身份验证

概述

IKEv2、重新生成密钥和重新验证都是单独的进程。重新生成密钥为 IKE 安全关联(SA)建立新密钥并重置消息 ID 计数器,但不会重新验证对等方。重新验证验证 VPN 对等方是否保留其对身份验证证书的访问。重新验证为 IKE SA 和子 Sa 建立新密钥;不再需要任何挂起的 IKE SA 或子 SA 的重新生成密钥。创建新 IKE 和子 Sa 之后,旧 IKE 和子 Sa 将被删除。

IKEv2 身份验证默认情况下是禁用的。可通过配置1到100之间的重新验证频率值来启用重新验证。重新验证的频率是发生重新验证之前 IKE 重新生成的次数。例如,如果配置的重新验证频率为1,则每次 IKE rekey 时都会重新进行身份验证。如果配置的重新验证频率为2,则每隔一个 IKE 重新加密都会发生重新身份验证。如果配置的重新验证频率为3,则每隔第三 IKE 重新生成密钥都会发生重新验证,依此类推。

您可以使用 [ reauth-frequencyedit security ike policy policy-name] 层次结构级别的语句来配置重新验证频率。通过将重新验证频率设置为0(默认值),可禁用重新验证。重新验证频率不会由对等方进行协商,每个对等方都可以有自己的重新验证频率值。

支持的功能

通过以下功能支持 IKEv2 重新身份验证:

  • IKEv2 发起程序或响应程序

  • 死对等方检测(DPD)

  • 虚拟路由器中的虚拟路由器和安全通道(st0)接口

  • 网络地址转换遍历(NAT T)

  • 适用于 SRX5400、SRX5600 和 SRX5800 设备的主动、主动、被动模式的机箱集群

  • SRX5400、SRX5600 和 SRX5800 设备上的服务中软件升级(ISSU)

  • 使用服务内硬件升级(ISHU)过程升级或插入新服务处理单元(SPU)

限制

注意使用 IKEv2 重新验证时的以下注意事项:

  • 通过 NAT-T,可以使用上一 IKE SA 的不同端口创建新的 IKE SA。在这种情况下,旧 IKE SA 可能不会被删除。

  • 在 NAT T 方案中,重新进行身份验证之后,NAT 设备后面的发起方可能成为响应方。如果 NAT 会话过期,NAT 设备可能会丢弃可能会在不同端口上收到的新 IKE 数据包。必须启用 NAT 激活或 DPD 才能保持 NAT 会话处于活动状态。对于 AutoVPN,建议在分支上配置的重新验证频率比中心上配置的重新验证频率小。

  • 根据重新验证的频率,新的 IKE SA 可由原始 IKE SA 的发起方或响应方启动。由于可扩展身份验证协议(EAP)身份验证和配置负载要求 IKE SA 与原始 IKE SA 在同一方之间启动,因此 EAP 身份验证或配置负载不支持重新验证。

IKE身份验证(基于证书的身份验证)

证书身份验证的多级层次结构

基于证书的身份验证是 IKE 协商期间 SRX 系列设备上支持的身份验证方法。在大型网络中,多个证书授权机构(Ca)可以向其各自的最终设备颁发最终实体(EE)证书。通常为单独的地点、部门或组织提供单独的 Ca。

采用基于证书的身份验证的单层层次结构时,网络中的所有 EE 证书都必须由相同 CA 签名。所有防火墙设备都必须为对等证书验证注册相同的 CA 证书。IKE 协商期间发送的证书有效负载仅包含 EE 证书。

或者,在 IKE 协商期间发送的证书有效负载可能包含一个 EE 和 CA 证书链。证书链是验证对等方 EE 证书所需的证书列表。证书链包括 EE 证书和本地对等方中不存在的任何 CA 证书。

网络管理员需要确保参与 IKE 协商的所有对等方在各自的证书链中至少有一个通用信任 CA。通用可信 CA 不必是根 CA。链中的证书数量(包括用于 EEs 的证书和链中的最顶层 CA)不能超过10。

从 Junos OS 版本 18.1 R1 开始,验证已配置的 IKE 对等方可与指定的 CA 服务器或一组 CA 服务器一起执行。通过证书链,根 CA 必须与 IKE 策略中配置的受信任 CA 组或 CA 服务器匹配

在中图 8显示的示例 CA 层次结构中,Root ca 是网络中所有设备的通用受信任 CA。根 CA 向工程和销售 Ca 颁发 CA 证书,分别标识为 Eng-CA 和销售 CA。Eng-CA 向开发和质量保证 Ca 颁发 CA 证书,它们分别被标识为 Dev-CA 和 Qa-CA。Host-A 从 Dev-CA 接收其 EE 证书,而主机 B 从销售-CA 接收其 EE 证书。

图 8: 基于证书的身份验证的多级层次结构基于证书的身份验证的多级层次结构

每个终端设备都需要随其层次结构中的 CA 证书一起加载。主机 A 必须具有根 CA、Eng-CA 和 Dev CA 证书;不需要销售-CA 和 Qa-CA 证书。主机 B 必须具有根 CA 和销售 CA 证书。可以在设备中手动加载证书,也可使用简单证书注册流程(SCEP)进行注册。

每个终端设备都必须为证书链中的每个 CA 配置一个 CA 配置文件。以下输出显示在 Host A 上配置的 CA 配置文件:

以下输出显示了在主机 B 上配置的 CA 配置文件:

示例:配置设备以进行对等证书链验证

此示例说明如何在 IKE 协商期间为用于验证对等设备的证书链配置设备。

要求

开始之前,在提交本地证书请求时,请获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

概述

此示例演示如何为证书链配置本地设备、注册 CA 和本地证书、检查注册证书的有效性以及检查对等设备的吊销状态。

拓扑

此示例显示了 Host A 上的配置和操作命令,如中图 9所示。系统证书颁发机构 A 上会自动创建动态管理配置文件,允许 Host-A 从 Sales-证书颁发机构 下载 CRL 并检查 Host-B 证书的撤消状态。

图 9: 证书链示例证书链示例

此示例中为 Host 1 和阶段2协商显示 IPsec VPN 配置。对等设备(主机 B)的配置必须正确,才能成功协商阶段1和阶段2选项,并建立安全关联(Sa)。有关为 Vpn 配置对等设备的示例,请参阅为站点到站点 Vpn 配置远程 IKE id

配置

要为证书链配置设备:

配置 CA 配置文件

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置 CA 配置文件:

  1. 创建 Root CA 的 CA 配置文件。

  2. 创建 Eng-CA 的 CA 配置文件。

  3. 创建开发 CA 的 CA 配置文件。

成果

从配置模式,输入show security pki命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

注册证书

分步过程

要注册证书:

  1. 注册 CA 证书。

    yes 提示符键入 以加载 证书颁发机构 证书。

  2. 验证 CA 证书是否已在设备中注册。

  3. 验证注册的 CA 证书的有效性。

  4. 生成密钥对。

  5. 注册本地证书。

  6. 验证本地证书是否已在设备中注册。

  7. 验证注册的本地证书是否有效。

  8. 检查配置的 CA 配置文件的 CRL 下载。

配置 IPsec VPN 选项

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置 IPsec VPN 选项:

  1. 配置阶段1选项。

  2. 配置第2阶段选项。

成果

在配置模式下,输入show security ikeshow security ipsec命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

如果在对等设备之间 IKE 协商期间证书验证成功,则同时建立 IKE 和 IPsec 安全关联(Sa)。

如果证书有效,IKE SA 就是 UP。如果证书被吊销,并且仅在对等设备上配置了吊销检查,则 IKE SA 关闭并形成 IPSEC SA

验证 IKE 阶段1状态

用途

验证 IKE 阶段1状态。

行动

show security ike security-associations 操作模式下输入 命令。

验证 IPsec 阶段2状态

用途

验证 IPsec 阶段2状态。

行动

show security ipsec security-associations 操作模式下输入 命令。

吊销证书 IKE 和 IPsec SA 失败

检查吊销的证书

如果在对等设备之间的IKE协商期间证书验证失败,则检查以确保对等方的证书未撤消。动态证书颁发机构配置文件允许本地设备从对等方服务器下载 CRL证书颁发机构并检查对等方证书的撤消状态。要启用动态 CA 配置文件, revocation-check crl必须在父 CA 配置文件上配置该选项。

解决方案

要检查对等方证书的撤消状态:

  1. 识别动态证书颁发机构配置文件,该配置文件将在操作模式下输入 命令,以显示对等 show security pki crl 设备的 CRL。

    主机证书颁发机构配置文件会自动在 Host-A 上创建,以便 dynamic-001 Host-A 可从 Host-B 的 证书颁发机构 (Sales-证书颁发机构) 下载 CRL 并检查对等方证书的撤消状态。

  2. 通过从操作模式输入 命令证书颁发机构显示动态配置 show security pki crl ca-profile dynamic-001 detail 配置文件的 CRL 信息。

    Enter

    主机 B 的证书(序列号 10647084)已撤消。

IKEv2 分片

消息碎片

按 RFC 7383、互联网密钥交换 协议版本 2 (IKEv2)消息分段中所述的 IKEv2 消息分片允许 IKEv2 在 IP 分片被阻止且对等方无法建立 IPsec 安全关联 (SA) 的环境中运行。IKEv2 分段将大型 IKEv2 消息拆分为一组较小的记录,以便在 IP 级别上不存在碎片。碎片在原始邮件经过加密和身份验证之前发生,因此每个片段都要单独加密并经过身份验证。在接收器上,片段被收集、验证、解密并合并到原始消息中。

要进行 IKEv2 分段,两个 VPN 对等方都必须指示分段支持,方法是将 IKEV2_FRAGMENTATION_SUPPORTED 通知负载包括在 IKE_SA_INIT 交换中。如果两个对等方都指示分段支持,则由消息交换的发起方确定是否使用 IKEv2 分段。

在 SRX 系列设备上,每个 IKEv2 消息最多允许32个分段。如果要发送或接收的 IKEv2 消息片段的数量超过32,则丢弃分段,并且不建立隧道。不支持重新传输单个消息片段

配置

在 SRX 系列设备上,IKEv2 分段默认情况下为 IPv4 和 IPv6 消息启用。要禁用 IKEv2 分段,请使用disable [edit security ike gateway gateway-name fragmentation] 层次结构级别的语句。您还可以使用该size语句来配置消息分段的数据包的大小;数据包的大小范围为500到1300字节。如果size未配置,则 IPv4 流量的默认数据包大小为576字节,IPv6 流量为1280字节。大于所配置数据包大小的 IKEv2 数据包将分段。

禁用或启用 IKEv2 分段或数据包片段大小更改后,托管在 IKE 网关上的 VPN 隧道将关闭,IKE 和 IPsec Sa 将重新协商。

几点

IKEv2 分段不支持以下功能:

  • MTU 发现的路径。

  • SNMP。

IKE可信客户实施证书颁发机构

此示例演示如何将受信任的 CA 服务器绑定到对等方的 IKE 策略。

开始之前,您必须拥有要与对等方的 IKE 策略相关联的所有受信任 Ca 的列表。

您可以将 IKE 策略关联到单个受信任的 CA 配置文件或受信任的 CA 组。为了建立安全连接,在验证证书时,IKE 网关使用 IKE 策略将自身限制为配置的 Ca (ca 配置文件)组。不会验证由受信任的 CA 或受信任的 CA 组以外的任何来源颁发的证书。如果存在来自 IKE 策略的证书验证请求,则 IKE 策略的关联 CA 配置文件将验证证书。如果 IKE 策略未与任何 CA 相关联,则默认情况下,证书由任何一个配置的 CA 配置文件进行验证。

在此示例中,将创建名root-ca为的 CA 配置root-ca-identity文件,并将其与配置文件相关联。

您最多可以配置20个要添加到受信任 CA 组的 CA 配置文件。如果在一个受信任的 CA 组中配置超过20个 CA 配置文件,则无法提交您的配置。

  1. 创建 CA 配置文件并将 CA 标识符与配置文件相关联。
  2. 定义 IKE 提议和 IKE 建议认证方法。
  3. 定义 Diffie-hellman 组、身份验证算法和 IKE 建议的加密算法。
  4. 配置 IKE 策略并将策略与 IKE 建议相关联。
  5. 为 IKE 策略配置本地证书标识符。
  6. 定义用于 IKE 策略的 CA。

要查看设备上配置的 CA 配置文件和受信任的 CA 组, show security pki请运行命令。

show security ike命令将在名为ike_policy的 IKE 策略下显示 CA 配置文件组,并将与 IKE 策略相关联的证书。

仅在 IKE 中配置建立通道响应者

本主题介绍如何仅在互联网密钥交换(IKE)中配置建立隧道响应程序。从远程对等方启动隧道并通过所有隧道发送信息流。指定激活 IKE 的时间。

从Junos OS版本19.1R1,在 SRX5000 系列设备上,establish tunnels 选项支持 层次结构级别下的 和 responder-onlyresponder-only-no-rekey[edit security ipsec vpn vpn-name] 值。

responder-onlySRX5000 系列设备仅支持 SPC3 卡(如果已安装 )中才支持 和 responder-only-no-rekeyjunos-ike-package 选项。这些选项仅在站点到站点 VPN 上受支持。Auto VPN 不支持此选项。

和 选项不会从设备建立任何 VPN 隧道,因此 responder-only VPN responder-only-no-rekey 隧道从远程对等方启动。配置时,已建立的隧道会基于配置的 IKE 和 IPsec 生存期值对 IKE responder-only 和 IPsec 进行重新密钥。配置时,已建立的隧道不会从设备重新密钥 responder-only-no-rekey ,依赖于远程对等方发起重新密钥。如果远程对等方未启动重新生成密钥,则在硬生存期过期后,会发生通道拆卸。

开始之前:

  • 了解如何建立 AutoKey IKE IPsec 隧道。阅读 IPsec 概述

要仅在 IKE 中配置建立通道响应者:

  1. 仅配置建立通道响应者
  2. 输入show security ipsec vpn IPSEC_VPN命令以确认您的配置。
  3. 仅配置建立通道响应者-无 rekey 密钥
  4. 输入show security ipsec vpn IPSEC_VPN命令以确认您的配置。

    如果有多个 VPN 对象,仅响应者模式将优先。如果网关中任一 VPN 配置为仅响应方模式,则网关中所有 VPN 都必须配置为仅响应方模式。

发布历史记录表
版本
说明
18.1R1
从 Junos OS 版本 18.1 R1 开始,验证已配置的 IKE 对等方可与指定的 CA 服务器或一组 CA 服务器一起执行。