Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

采用 NAT-T 的基于路由和基于策略的 VPN

阅读本主题可了解带有 NAT-T 的 IPsec VPN。

网络地址转换遍历 (NAT-T) 是一种用于管理受 IPsec 保护的数据通过配置了 NAT 进行地址转换的设备时遇到的 IP 地址转换相关问题的方法。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看该 具有 IPsec VPN 行为的特定于平台的 NAT-T 部分,了解与您的平台相关的注意事项。

了解 NAT-T

网络地址转换遍历 (NAT-T) 是一种解决受 IPsec 保护的数据通过 NAT 设备进行地址转换时遇到的 IP 地址转换问题的方法。对 IP 寻址(NAT 的功能)的任何更改都会导致 IKE 丢弃数据包。在第 1 阶段交换期间沿数据路径检测到一个或多个 NAT 设备后,NAT-T 会向 IPsec 数据包添加一层用户数据报协议 (UDP) 封装,以便在地址转换后不会丢弃这些设备。NAT-T 将 IKE 和 ESP 流量封装在 UDP 中,端口 4500 同时用作源端口和目标端口。由于 NAT 设备会老化过时的 UDP 转换,因此对等方之间需要保持连接消息。

默认情况下,NAT-T 处于启用状态,因此您必须在层次结构级别使用该[edit security ike gateway gateway-name语句来no-nat-traversal禁用 NAT-T。

NAT 分为两大类:

  • 静态 NAT,其中专用地址和公共地址之间存在一对一关系。静态 NAT 在入站和出站方向上都有效。

  • 动态 NAT,其中专用地址和公共地址之间存在多对一或多对多关系。动态 NAT 仅在出站方向上工作。

NAT 设备的位置可以是:

  • 只有 IKEv1 或 IKEv2 启动器位于 NAT 设备后面。多个启动器可以位于单独的 NAT 设备后面。发起方还可以通过多个 NAT 设备连接到响应方。

  • 只有 IKEv1 或 IKEv2 响应程序位于 NAT 设备后面。

  • IKEv1 或 IKEv2 发起方和响应方都位于 NAT 设备后面。

动态端点 VPN 涵盖发起方的 IKE 外部地址不固定,因此响应方不知道的情况。当发起方的地址由 ISP 动态分配时,或者当发起方的连接跨越从动态地址池分配地址的动态 NAT 设备时,可能会发生这种情况。

针对只有响应方位于 NAT 设备后面的拓扑以及发起方和响应方都在 NAT 设备后面的拓扑,提供了 NAT-T 的配置示例。发起方和响应方都支持 NAT-T 的站点到站点 IKE 网关配置。远程 IKE ID 用于在 IKE 隧道协商的第 1 阶段验证对等方的本地 IKE ID。发起方和响应方都需要 a local-identity 和 a remote-identity 设置。

另请参阅

示例:使用响应方 behind 和 NAT 设备配置 基于路由的 VPN

此示例说明如何在分支机构和公司办公室之间配置基于路由的 VPN,并在 NAT 设备 后面使用响应方。

要求

开始之前,请阅读 IPsec 概述

概述

在此示例中,您将配置基于路由的 VPN。Host1 将使用 VPN 通过 SRX2 连接到其公司总部。

图 1 显示了基于路由的 VPN 的拓扑示例,其中只有响应方位于 NAT 设备后面。

图 1: 基于路由的 VPN 拓扑,仅包含响应方 b和 NAT 设备基于路由的 VPN 拓扑,仅包含响应方 b和 NAT 设备

在此示例中,您将为 SRX1 中的发起方和 SRX2 中的响应方配置接口、IPsec 和安全策略。然后配置 IKE 第 1 阶段和 IPsec 第 2 阶段参数。

SRX1 发送目标地址为 172.1 6 的数据包。2 1.1 建立 VPN。 NAT 设备将目标地址转换为 10.1.31.1。

有关表 1示例中用于启动器的特定配置参数,请参阅。表 3

表 1: SRX1 的接口、路由选项和安全参数

功能

名称

配置参数

接口

ge-0/0/1

172.16.11.1/24
 

ge-0/0/0

10.1.11.1/24
 

st0. 0(隧道接口)

10.1.100.1/24

静态路由

10.1.2 1.0/24

下一跃点是 st0。0.
 

172.16.21.1/32

下一跃点为 172。16.11.2.

安全区域

untrust

  • IKE 和 ping 的系统服务。

  • ge-0/0/1.0 和 st0。 0 个接口绑定到此区域。
 

trust

  • 允许 ll 系统服务。

  • 允许 ll 协议。

  • ge-0/0/0.0 接口绑定到此区域。

安全策略

到 SRX2

允许来自 10.1.1 1 的流量。信任区域中的 0/24 为 10.1。2 1.在不受信任区域中为 0/24。

from-SRX2

允许来自 10.1 的流量。2 1.0/24 在不受信任区域中至 10.1.1 1.信任区域中为 0/24。
表 2: SRX1 的 IKE 第 1 阶段配置参数

功能

名称

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:group2

  • 身份验证算法:sha1

  • 加密算法:3DES-CBC

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

gw1

  • IKE 策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:172.1 6.2 1.1

  • 本地对等方(发起方):branch_natt1@example.net

  • 远程对等方(响应方):responder_natt1@example.net
表 3: SRX1 的 IPsec 第 2 阶段配置参数

功能

名称

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:HMAC-SHA1-96

  • 加密算法:3DES-CBC

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • 完全向前保密 (PFS) 密钥:group2

VPN

vpn1

  • IKE 网关参考:gw1

  • IPsec 策略参考:ipsec_pol

  • 绑定到接口:st0.0

  • 立即建立隧道

有关示例中用于响应程序的特定配置参数,请参阅表 4表 6

表 4: SRX2 的接口、路由选项和安全参数

功能

名称

配置参数

接口

ge-0/0/1

10.1.31.1/24
 

ge-0/0/0

10.1.21.1/24
 

st0. 0(隧道接口)

10.1.100.2/24

静态路由

172.16.11.1/32

下一跃点为 1 0.1。3 1.2.
 

10.1.1 1.0/24

下一跃点是 st0。0.

安全区域

untrust

  • 允许 IKE 和 ping 系统服务。

  • ge-0/0/1.0 和 st0。 0 个接口绑定到此区域。
 

trust

  • 允许 ll 系统服务。

    允许 ll 协议。

  • ge-0/0/0.0 接口绑定到此区域。

安全策略

至 SRX1

允许来自 10.1 的流量。2 1.信任区域中的 0/24 为 10.1。1 1.在不受信任区域中为 0/24。

from-SRX1

允许来自 10.1 的流量。1 1.不信任区域中的 0/24 为 10.1。2 1.信任区域中为 0/24。
表 5: SRX2 的 IKE 第 1 阶段配置参数

功能

名称

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:group2

  • 身份验证算法:sha1

  • 加密算法:3DES-CBC

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

gw1

  • IKE 策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:1 72.16.11.1

  • 本地对等方(响应方):responder_natt1@example.net

  • 远程对等方(发起方):branch_natt1@example.net
表 6: SRX2 的 IPsec 第 2 阶段配置参数

功能

名称

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:HMAC-SHA1-96

  • 加密算法:3DES-CBC

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • PFS 密钥:group2

VPN

vpn1

  • IKE 网关参考:gw1

  • IPsec 策略参考:ipsec_pol

  • 绑定到接口:st0.0

  • 立即建立隧道

配置

为 SRX1 配置接口、路由选项和安全参数

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由和安全参数,请执行以下操作:

  1. 配置连接到互联网的接口、Host1 和用于 VPN 的接口。

  2. 为将使用 VPN 的流量配置静态路由,并为 SRX1 配置到达 NAT 设备的静态路由。

  3. 配置不信任安全区域。

  4. 配置信任安全区域。

  5. 为安全策略中使用的网络配置地址簿 。

  6. 创建安全策略 以允许主机之间的流量。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 SRX1 配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IKE:

  1. 创建 IKE 第 1 阶段提议。

  2. 创建 IKE 第 1 阶段策略。

  3. 配置 IKE 第 1 阶段网关参数。 网关地址应为 NAT 设备的 IP。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 SRX1 配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 创建 IPsec 第 2 阶段策略。

  3. 配置 IPsec VPN 参数。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 SRX2 配置接口、路由选项和安全 P流量计

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由和安全参数,请执行以下操作:

  1. 配置连接到互联网的接口、Host2 和用于 VPN 的接口。

  2. 为将使用 VPN 的流量配置静态路由,并为 SRX2 配置到达 SRX1。

  3. 配置不信任安全区域。

  4. 配置信任安全区域。

  5. 为安全策略中使用的网络配置地址簿。

  6. 创建安全策略以允许主机之间的流量。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 SRX2 配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IKE:

  1. 创建 IKE 第 1 阶段提议。

  2. 创建 IKE 第 1 阶段策略。

  3. 配置 IKE 第 1 阶段网关参数。网关地址应为 SRX1 的 IP。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为 SRX2 配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 创建 IPsec 第 2 阶段策略。

  3. 配置 IPsec VPN 参数。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

NAT 设备的配置

CLI 快速配置

示例中使用了静态 NAT。静态 NAT 是双向的,这意味着从 10.1.31.1 到 172.16.11.1 的流量也将使用相同的 NAT 配置。

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证 SRX1 上的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。有关更详细的输出,请使用 show security ike security-associations detail 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations index detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。 请记住,NAT-T 使用端口 4500 将 IKE 和 ESP 流量封装在 UDP 中。

  • 角色启动器状态

    • Up — 建立第 1 阶段 SA。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • IPsec SA 对中的两个对等方都在使用端口 4500。

    • 对等 IKE ID — 验证远程地址是否正确。

    • 本地身份和远程身份 - 验证它们是否正确。

  • 模式 - 验证是否使用了正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令将列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证 SRX1 上的 IPsec 安全关联

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。有关更详细的输出,请使用 show security ipsec security-associations detail 命令。

意义

show security ipsec security-associations 命令输出列出以下信息:

  • 远程网关的n 地址为 172.1 6。2 1.1.

  • IPsec SA 对中的两个对等方都在使用端口 4500。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。2160/unlim 值表示第 2 阶段生存期将在 2160 秒后过期,并且未指定生存大小,表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

验证 SRX2 上的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。有关更详细的输出,请使用 show security ike security-associations detail 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色响应程序状态

    • Up — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • 对等 IKE ID — 验证地址是否正确。

    • 本地身份和远程身份 - 验证这些地址是否正确。

  • 模式 - 验证是否使用了正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令将列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证 SRX2 上的 IPsec 安全关联

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。有关更详细的输出,请使用 show security ipsec security-associations detail 命令。

意义

show security ipsec security-associations 命令输出列出以下信息:

  • 远程网关的 IP 地址为 172。16.11.1.

  • IPsec SA 对中的两个对等方都在使用端口 4500。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。1562/unlim 值表示第 2 阶段生存期将在 1562 秒后过期,并且未指定生存大小,表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

show security ipsec security-associations index index_iddetail 命令输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。

验证主机到主机的可访问性

目的

验证主机 1 是否可以到达主机 2。

操作

从主机 1 ping 主机 2。要验证流量是否正在使用 VPN,请在 SRX1 上使用命令 show security ipsec statistics 。在运行 ping 命令之前,使用命令 clear security ipsec statistics 清除统计信息。

意义

输出显示 Host1 可以 ping Host2,并且流量正在使用 VPN。

另请参阅

示例:配置基于策略的 VPN,并在 NAT 设备后面同时包含发起方和响应方

此示例说明如何在 NAT 设备后面配置基于策略的 VPN,并在 NAT 设备后面同时包含发起方和响应方,以允许在分支机构和公司办公室之间安全地传输数据。

要求

开始之前,请阅读 IPsec 概述

概述

在此示例中,您为伊利诺伊州芝加哥的分支机构配置基于策略的 VPN,因为您希望节省隧道资源,但仍会对 VPN 流量进行精细限制。分支机构的用户将使用 VPN 连接到位于加利福尼亚州桑尼维尔的公司总部。

在此示例中,您将为发起方和响应方配置接口、路由选项、安全区域和安全策略。

图 2 显示了静态 NAT 设备后面同时包含发起方和响应方的 VPN 拓扑示例。

图 2: 基于策略的 VPN 拓扑,NAT 设备后面既有发起方又有响应方基于策略的 VPN 拓扑,NAT 设备后面既有发起方又有响应方

在此示例中,您将配置接口、IPv4 默认路由和安全区域。然后配置 IKE 阶段 1,包括本地和远程对等方、IPsec 阶段 2 和安全策略。请注意,在上面的示例中,响应方的私有 IP 地址 13.168.11.1 被静态 NAT 设备隐藏,并映射到公共 IP 地址 1.1.100.1。

有关表 7示例中用于启动器的特定配置参数,请参阅。表 10

表 7: 启动器的接口、路由选项和安全区域

功能

名称

配置参数

接口

ge-0/0/0

12.168.99.100/24
 

ge-0/0/1

10.1.99.1/24

静态路由

10.2.99.0/24(默认路由)

下一跃点是 12.168.99.100。
 

1.1.100.0/24

12.168.99.100

安全区域

trust

  • 允许所有系统服务。

  • 允许所有协议。

  • ge-0/0/1.0 接口绑定到此区域。
 

untrust

  • ge-0/0/0.0 接口绑定到此区域。
表 8: 启动器的 IKE 第 1 阶段配置参数

功能

名称

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:group2

  • 身份验证算法:MD5

  • 加密算法:3DES-CBC

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

  • IKE 策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:1.1.100.23

  • 本地对等方是主机名芝加哥

  • 远程对等方是主机名 Sunnyvale
表 9: 启动器的 IPsec 第 2 阶段配置参数

功能

名称

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:HMAC-MD5-96

  • 加密算法:3DES-CBC

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • 完全向前保密 (PFS):group1

VPN

first_vpn

  • IKE 网关参考:门

  • IPsec 策略参考:ipsec_pol
表 10: 启动器的安全策略配置参数

目的

名称

配置参数

安全策略允许从信任区域到不信任区域的隧道流量。

pol1

  • 匹配标准:

    • 源-地址 任意

    • 目标地址

    • application any

  • 操作:允许隧道 IPsec-VPN first_vpn

安全策略允许从不信任区域到信任区域的隧道流量。

pol1

  • 匹配标准:

    • application any

  • 操作:允许隧道 IPsec-VPN first_vpn

有关示例中用于响应程序的特定配置参数,请参阅表 11表 14

表 11: 响应方的接口、路由选项和安全区域

功能

名称

配置参数

接口

ge-0/0/0

13.168.11.100/24
 

ge-0/0/1

10.2.99.1/24

静态路由

10.1.99.0/24(默认路由)

下一跃点是 13.168.11.100
 

1.1.100.0/24

13.168.11.100

安全区域

trust

  • 允许所有系统服务。

  • 允许所有协议。

  • ge-0/0/1.0 接口绑定到此区域。
 

untrust

  • ge-0/0/0.0 接口绑定到此区域。
表 12: 响应方的 IKE 第 1 阶段配置参数

功能

名称

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:group2

  • 身份验证算法:MD5

  • 加密算法:3DES-CBC

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

  • IKE 策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:1.1.100.22

  • 始终发送失效对等体检测

  • 本地对等方是主机名森尼维尔

  • 远程对等方是主机名芝加哥
表 13: 响应程序的 IPsec 第 2 阶段配置参数

功能

名称

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:HMAC-MD5-96

  • 加密算法:3DES-CBC

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • 完全向前保密 (PFS):group1

VPN

first_vpn

  • IKE 网关参考:门

  • IPsec 策略参考:ipsec_pol
表 14: 响应程序的安全策略配置参数

目的

名称

配置参数

安全策略允许从信任区域到不信任区域的隧道流量。

pol1

  • 匹配标准:

    • 源-地址 任意

    • 目标地址

    • application any

  • 操作:允许隧道 IPsec-VPN first_vpn

安全策略允许从不信任区域到信任区域的隧道流量。

pol1

  • 匹配标准:

    • application any

  • 操作:允许隧道 IPsec-VPN first_vpn

配置

为启动器配置接口、路由选项和安全区域

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由和安全区域,请执行以下操作:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 配置信任安全区域。

  4. 为信任安全区域分配接口。

  5. 为信任安全区域指定系统服务。

  6. 为不信任安全区域分配接口。

结果

在配置模式下,通过输入 show interfacesshow routing-optionsshow security zones 命令来确认您的配置 如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式输入 commit

为启动器配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IKE:

  1. 创建 IKE 第 1 阶段提议。

  2. 定义 IKE 提议身份验证方法。

  3. 定义 IKE 提议 Diffie-Hellman 组。

  4. 定义 IKE 提议身份验证算法。

  5. 定义 IKE 提议加密算法。

  6. 创建 IKE 第 1 阶段策略。

  7. 设置 IKE 第 1 阶段策略模式。

  8. 指定对 IKE 提议的参考。

  9. 定义 IKE 第 1 阶段策略身份验证方法。

  10. 创建 IKE 第 1 阶段网关并定义其外部接口。

  11. 创建 IKE 第 1 阶段网关地址。

  12. 定义 IKE 第 1 阶段策略参考。

  13. 为本地对等方设置 local-identity

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为启动器配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 指定 IPsec 第 2 阶段提议协议。

  3. 指定 IPsec 第 2 阶段提议身份验证算法。

  4. 指定 IPsec 第 2 阶段提议加密算法。

  5. 指定 IPsec 第 2 阶段提议参考。

  6. 指定 IPsec 阶段 2 以使用完全向前保密 (PFS) 组 1。

  7. 指定 IKE 网关。

  8. 指定 IPsec 第 2 阶段策略。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为启动器配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置安全策略:

  1. 创建安全策略以允许从信任区域到不信任区域的流量。

  2. 创建安全策略以允许从不信任区域到信任区域的流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为启动器配置 NAT

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置提供 NAT 的启动器,请执行以下操作:

  1. 配置接口。

  2. 配置区域。

  3. 配置 NAT。

  4. 配置默认安全策略。

  5. 配置路由选项。

结果

在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为响应方配置接口、路由选项和安全区域

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由、安全区域和安全策略,请执行以下操作:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 为不信任安全区域分配接口。

  4. 配置信任安全区域。

  5. 为信任安全区域分配接口。

  6. 为信任安全区域指定允许的系统服务。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security zones 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为响应方配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IKE:

  1. 定义 IKE 提议身份验证方法。

  2. 定义 IKE 提议 Diffie-Hellman 组。

  3. 定义 IKE 提议身份验证算法。

  4. 定义 IKE 提议加密算法。

  5. 创建 IKE 第 1 阶段策略。

  6. 设置 IKE 第 1 阶段策略模式。

  7. 指定对 IKE 提议的参考。

  8. 定义 IKE 第 1 阶段策略身份验证方法。

  9. 创建 IKE 第 1 阶段网关并定义其动态主机名。

  10. 创建 IKE 第 1 阶段网关并定义其外部接口。

  11. 定义 IKE 第 1 阶段策略参考。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为响应方配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 指定 IPsec 第 2 阶段提议协议。

  3. 指定 IPsec 第 2 阶段提议身份验证算法。

  4. 指定 IPsec 第 2 阶段提议加密算法。

  5. 创建 IPsec 第 2 阶段策略。

  6. 将 IPsec 阶段 2 设置为使用完全向前保密 (PFS) 组 1。

  7. 指定 IPsec 第 2 阶段提议参考。

  8. 指定 IKE 网关。

  9. 指定 IPsec 第 2 阶段策略。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为响应方配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置安全策略:

  1. 创建安全策略以允许从信任区域到不信任区域的流量。

  2. 创建安全策略以允许从不信任区域到信任区域的流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

为响应方配置 NAT

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置提供 NAT 的响应方,请执行以下操作:

  1. 配置接口。

  2. 配置区域。

  3. 配置 NAT。

  4. 配置默认安全策略。

  5. 配置路由选项。

结果

在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证启动器的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在开始验证过程之前,必须将流量从 10.1.99.0 网络中的主机发送到 10.2.99.0 网络中的主机。对于基于路由的 VPN,流量可由 SRX 系列防火墙通过隧道启动。建议在测试 IPsec 隧道时,将测试流量从 VPN 一端的单独设备发送到 VPN 另一端的另一台设备。例如,启动从 10.1.99.2 到 10.2.99.2 的 ping 操作。

在操作模式下,输入 show security ike security-associations 命令。从命令获取索引号之后,请使用 show security ike security-associations index index_number detail 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations index detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色启动器状态

    • Up — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • IPsec SA 对中的两个对等方都在使用端口 4500,这表示已实施 NAT-T。(NAT-T 使用端口 4500 或其他随机高编号端口。)

    • 对等 IKE ID — 验证远程(响应方)ID 是否正确。在此示例中,主机名为 sunnyvale。

    • 本地身份和远程身份 - 验证它们是否正确。

  • 模式 - 验证是否使用了正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令将列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证启动器的 IPsec 安全关联

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号之后,请使用 show security ipsec security-associations index index_number detail 命令。

意义

show security ipsec security-associations 命令输出列出以下信息:

  • 远程网关的 NAT 地址为 13.168.11.100。

  • IPsec SA 对中的两个对等方都在使用端口 4500,这表示已实施 NAT-T。(NAT-T 使用端口 4500 或其他随机高编号端口。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。3390/无限值表示第 2 阶段生存期将在 3390 秒后过期,并且未指定生存大小,表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

验证响应方的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。从命令获取索引号之后,请使用 show security ike security-associations index index_number detail 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations index detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色响应程序状态

    • Up — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • 对等 IKE ID — 验证对等方的本地 ID 是否正确。在此示例中,主机名为芝加哥。

    • 本地身份和远程身份 - 验证它们是否正确。

  • 模式 - 验证是否使用了正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令将列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证响应方的 IPsec 安全关联

目的

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号之后,请使用 show security ipsec security-associations index index_number detail 命令。

意义

show security ipsec security-associations 命令输出列出以下信息:

  • 远程网关的 NAT 地址为 1.1.100.23。

  • IPsec SA 对中的两个对等方都在使用端口 4500,这表示已实施 NAT-T。(NAT-T 使用端口 4500 或其他随机高编号端口。)

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。3571/unlim 值表示第 2 阶段生存期将在 3571 秒后过期,并且未指定生存大小,表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

另请参阅

示例:使用动态端点 VPN 配置 NAT-T

此示例说明如何配置基于路由的 VPN,其中 IKEv2 发起方是 NAT 设备后面的动态端点。

要求

此示例使用以下硬件和软件组件:

  • 机箱群集中配置的两个 SRX 系列防火墙

  • 一个提供 NAT 的 SRX 系列防火墙

  • 一个 SRX 系列防火墙提供分支机构网络访问

  • Junos OS 版本 12.1X46-D10 或更高版本,支持 IKEv2 NAT-T

概述

在此示例中,在分支机构(IKEv2 发起程序)和总部(IKEv2 响应程序)之间配置 IPsec VPN,以保护两个位置之间的网络流量。分支机构位于 NAT 设备后面。分支机构地址是动态分配的,响应方不知道。使用响应方的远程身份配置发起方以进行隧道协商。此配置在 NAT 设备上的对等方之间建立动态端点 VPN。

图 3 显示了具有 NAT 遍历 (NAT-T) 和动态端点 VPN 的拓扑示例。

图 3: 具有动态端点 VPN 的 NAT-T具有动态端点 VPN 的 NAT-T

在此示例中,已动态分配给设备的发起方 IP 地址 192.179.100.50 被 NAT 设备隐藏并转换为 100.10.1.253。

以下示例中应用以下配置选项:

  • 在发起方上配置的本地身份必须与响应方上配置的远程网关身份匹配。

  • 发起方和响应方之间的第 1 阶段和第 2 阶段选项必须匹配。

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅 安全策略概述

配置

配置分支机构设备(IKEv2 启动器)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置分支机构设备:

  1. 配置接口。

  2. 配置路由选项。

  3. 配置区域。

  4. 配置第 1 阶段选项。

  5. 配置第 2 阶段选项。

  6. 配置安全策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security ipsecshow security zonesshow security ike、 和show security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置 NAT 设备

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置提供 NAT 的中间路由器,请执行以下操作:

  1. 配置接口。

  2. 配置区域。

  3. 配置 NAT。

  4. 配置默认安全策略。

结果

在配置模式下,输入 show interfacesshow security zonesshow security nat sourceshow security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置总部设备(IKEv2 响应程序)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 将两个节点配置为机箱群集。

  2. 配置接口。

  3. 配置路由选项。

  4. 配置区域。

  5. 配置第 1 阶段选项。

  6. 配置第 2 阶段选项。

  7. 配置默认安全策略。

结果

在配置模式下,输入 show chassis clustershow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonesshow security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

验证

确认配置工作正常。

验证响应方的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

操作

在节点 0 上的操作模式下,输入 show security ike security-associations 命令。从命令获取索引号之后,请使用 show security ike security-associations detail 命令。

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations index index_id detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 — 验证本地 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色响应程序状态

    • Up — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • 对等 IKE ID — 验证地址是否正确。

    • 本地身份和远程身份 - 验证这些地址是否正确。

  • 模式 - 验证是否使用了正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是发送 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令将列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证响应方的 IPsec 安全关联

目的

验证 IPsec 状态。

操作

在节点 0 上的操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号之后,请使用 show security ipsec security-associations detail 命令。

意义

show security ipsec security-associations 命令输出列出以下信息:

  • 远程网关的 IP 地址为 100.10.1.253。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。生存期值指示第 2 阶段生存期将在 7186 秒后过期,并且未指定生存大小,这表示它是无限的。第 2 阶段生存期可能与第 1 阶段生存期不同,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

show security ipsec security-associations index index_id detail 命令输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)与两个对等方匹配。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。

另请参阅

具有 IPsec VPN 行为的特定于平台的 NAT-T

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为。

表 15: 特定于平台的行为
平台 差异
SRX 系列

  • 在支持带有 IPsec VPN 的 NAT-T 的 SRX5400、SRX5600 和 SRX5800 设备上,请注意以下隧道扩展限制:

    • 对于给定的专用 IP 地址,NAT 设备必须将 500 和 4500 个专用端口转换为相同的公共 IP 地址。

    • 来自给定公共转换 IP 的隧道总数不能超过 1000 个隧道。

  • 在通过动态端点 VPN 支持 NAT-T 的 SRX3400、SRX3600、SRX5600 和 SRX5800 设备上:

    • 当 IKE 对等方位于在协商期间更改 IKE 数据包的源 IP 地址的 NAT 设备后面时,与 NAT-T 的 IKE 协商不起作用。例如,如果使用动态 IP 配置 NAT 设备,则 NAT 设备会更改源 IP,因为 IKE 协议会将 UDP 端口从 500 切换到 5400。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
24.2R1
当 NAT-T 远程端口发生更改时,对等设备可能会在传入失效对等方检测 (DPD) 期间创建新会话,从而导致会话不匹配并中断流量。为防止出现这种情况,可以启用优化的失效对等体检测。使用经优化的命令 set security ike gateway gateway-name dead-peer-detection 使用新端口号更新现有 NAT-T 会话,从而允许流量恢复。
12.1X46-D10
从 Junos OS 版本 12.1X46-D10 和 Junos OS 版本 17.3R1 开始,在层次结构级别配置[edit security ike gateway gateway-name]的选项的nat-keepalive默认值已从 5 秒更改为 20 秒。