Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

基于路由和基于策略的 VPN 以及支持 NAT-T

阅读本主题可了解使用 NAT-T 的 IPsec VPN。

网络地址转换遍历 (NAT-T) 是一种用于管理受 IPsec 保护的数据通过配置了地址转换 NAT 的设备时遇到的 IP 地址转换相关问题的方法。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看具有 IPsec VPN 的平台特定 NAT-T 行为 部分,了解与您的平台相关的注意事项。

了解 NAT-T

网络地址转换遍历 (NAT-T) 是一种绕过受 IPsec 保护的数据通过 NAT 设备进行地址转换时遇到的 NAT 地址转换问题的方法。对 IP 寻址(NAT 的功能)进行的任何更改都会导致 IKE 丢弃数据包。在第 1 阶段交换期间检测到数据路径上的一个或多个 NAT 设备后,NAT-T 会为 IPsec 数据包添加一层用户数据报协议 (UDP) 封装,以便在地址转换后不会将其丢弃。NAT-T 将 IKE 和 ESP 流量封装到 UDP 中,并将端口 4500 用作源端口和目标端口。由于 NAT 设备会使过时的 UDP 转换,因此对等方之间需要激活消息。

默认情况下,NAT-T 处于启用状态,因此您必须在层次结构级别使用[edit security ike gateway gateway-nameno-nat-traversal语句来禁用 NAT-T。

NAT 分为两大类:

  • 静态 NAT,其中私有地址和公共地址之间存在一对一关系。静态 NAT 适用于入站和出站方向。

  • 动态 NAT,其中私有地址和公共地址之间存在多对一或多对多关系。动态 NAT 仅适用于出站方向。

NAT 设备的位置可以是:

  • 只有 IKEv1 或 IKEv2 发起方位于 NAT 设备后面。多个发起方可以位于单独的 NAT 设备后面。发起方还可通过多个 NAT 设备连接到响应方。

  • 只有 IKEv1 或 IKEv2 响应方位于 NAT 设备后面。

  • IKEv1 或 IKEv2 发起方和响应方均位于 NAT 设备后面。

动态端点 VPN 涵盖发起方的 IKE 外部地址不是固定的,因此响应方不知道的情况。当发起方的地址由 ISP 动态分配时,或者当发起方的连接通过从动态地址池分配地址的动态 NAT 设备时,可能会发生这种情况。

对于只有响应方位于 NAT 设备后面的拓扑,以及发起方和响应方都位于 NAT 设备后面的拓扑,提供了 NAT-T 的配置示例。发起方和响应方都支持用于 NAT-T 的站点到站点 IKE 网关配置。远程IKE ID 用于在IKE隧道协商的第 1 阶段验证对等方的本地 IKE ID。发起方和响应方都需要 a local-identity 和 a remote-identity 设置。

也可以看看

示例:通过 NAT 设备后面的响应方配置基于路由的 VPN

此示例说明如何在分支机构和企业办公室之间的 NAT 设备后面配置具有响应方的基于路由的 VPN。

要求

开始之前,请阅读 IPsec 概述

概述

在此示例中,您将配置一个基于路由的 VPN。Host1 将使用 VPN 连接到 SRX2 上的公司总部。

图 1 显示了基于路由的 VPN 拓扑示例,其中只有响应方位于 NAT 设备后方。

图 1:基于路由的 VPN 拓扑,其中只有响应方在 NAT 设备 Network diagram showing a route-based IPsec VPN between two sites with Juniper SRX firewalls. SRX1 and SRX2 have Trust and Untrust zones. Hosts in Trust zones have IPs 10.1.11.1, 10.1.11.2, 10.1.21.1, and 10.1.21.2. Secure tunnel connects SRX1 and SRX2 over the Internet using subnets 172.16.11.0/24 and 172.16.21.0/24. NAT is applied on SRX2 for public communication.后面

在此示例中,您将为 SRX1 中的发起方和 SRX2 中的响应方配置接口、IPsec 和安全策略。然后,配置 IKE 第 1 阶段和 IPsec 第 2 阶段参数。

SRX1 发送目标地址为 172.16.21.1 的数据包以建立 VPN。NAT 设备将目标地址转换为 10.1.31.1。

有关示例中用于发起方的特定配置参数,请参阅 表 1表 3

表 1: SRX1 的接口、路由选项和安全性参数

功能

姓名

配置参数

接口

ge-0/0/1

172.16.11.1/24
 

ge-0/0/0

10.1.11.1/24
 

st0.0(隧道接口)

10.1.100.1/24

静态路由

10.1.21.0/24

下一跃点为 st0.0。
 

172.16.21.1/32

下一跃点为 172.16.11.2。

安全性区域

不信任

  • IKE 和 ping 的系统服务。

  • ge-0/0/1.0 和 st0.0 接口绑定到此区域。
 

信任

  • 允许所有系统服务。

  • 允许所有协议。

  • ge-0/0/0.0 接口绑定到此区域。

安全性策略

到 SRX2

允许从信任区域中的 10.1.11.0/24 到非信任区域中的 10.1.21.0/24 的流量。

from-SRX2

允许从不信任区域中的 10.1.21.0/24 到信任区域中的 10.1.11.0/24 的流量。
表 2: SRX1 的 IKE 第 1 阶段配置参数

功能

姓名

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:组 2

  • 身份验证算法:sha1

  • 加密算法:3des-cbc

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

GW1

  • IKE策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:172.16.21.1

  • 本地对等方(发起方):branch_natt1@example.net

  • 远程对等方(响应方):responder_natt1@example.net
表 3: SRX1 的 IPsec 第 2 阶段配置参数

功能

姓名

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:hmac-sha1-96

  • 加密算法:3des-cbc

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • 完全向前保密 (PFS) 密钥: group2

VPN

VPN1

  • IKE 网关参考:GW1

  • IPsec 策略参考:ipsec_pol

  • 绑定到接口:st0.0

  • 立即建立隧道

有关示例中用于响应方的特定配置参数,请参阅 表 4表 6

表 4: SRX2 的接口、路由选项和安全性参数

功能

姓名

配置参数

接口

ge-0/0/1

10.1.31.1/24
 

ge-0/0/0

10.1.21.1/24
 

st0.0(隧道接口)

10.1.100.2/24

静态路由

172.16.11.1/32

下一跃点为 10.1.31.2。
 

10.1.11.0/24

下一跃点为 st0.0。

安全性区域

不信任

  • 允许 IKE 和 ping 系统服务。

  • ge-0/0/1.0 和 st0.0 接口绑定到此区域。
 

信任

  • 允许所有系统服务。

    允许所有协议。

  • ge-0/0/0.0 接口绑定到此区域。

安全性策略

到 SRX1

允许从信任区域中的 10.1.21.0/24 到非信任区域中的 10.1.11.0/24 的流量。

from-SRX1

允许从非信任区域中的 10.1.11.0/24 到信任区域中的 10.1.21.0/24 的流量。
表 5: SRX2 的 IKE 第 1 阶段配置参数

功能

姓名

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:组 2

  • 身份验证算法:sha1

  • 加密算法:3des-cbc

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

GW1

  • IKE策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:172.16.11.1

  • 本地对等方(响应方):responder_natt1@example.net

  • 远程对等方(发起方):branch_natt1@example.net
表 6: SRX2 的 IPsec 第 2 阶段配置参数

功能

姓名

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:hmac-sha1-96

  • 加密算法:3des-cbc

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • PFS 密钥:组 2

VPN

VPN1

  • IKE 网关参考:GW1

  • IPsec 策略参考:ipsec_pol

  • 绑定到接口:st0.0

  • 立即建立隧道

配置

为 SRX1 配置接口、路由选项和安全性参数

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由和安全参数,请执行以下操作:

  1. 配置连接到互联网的接口 Host1 和用于 VPN 的接口。

  2. 为将使用 VPN 和 SRX1 到达 NAT 设备的流量配置静态路由。

  3. 配置不信任安全区域。

  4. 配置信任安全区域。

  5. 为安全策略中使用的网络配置地址簿。

  6. 创建安全策略以允许主机之间的流量。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为 SRX1 配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IKE,请执行以下操作:

  1. 创建 IKE 第 1 阶段提议。

  2. 创建 IKE 第 1 阶段策略。

  3. 配置 IKE 第 1 阶段网关参数。网关地址应为 NAT 设备的 IP。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为 SRX1 配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 创建 IPsec 第 2 阶段策略。

  3. 配置 IPsec VPN 参数。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为 SRX2 配置接口、路由选项和安全性参数

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由和安全参数,请执行以下操作:

  1. 配置连接到互联网的接口、Host2 以及用于 VPN 的接口。

  2. 为将使用 VPN 的流量和 SRX2 到达 SRX1 的流量配置静态路由。

  3. 配置不信任安全区域。

  4. 配置信任安全区域。

  5. 为安全策略中使用的网络配置地址簿。

  6. 创建安全策略以允许主机之间的流量。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为 SRX2 配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IKE,请执行以下操作:

  1. 创建 IKE 第 1 阶段提议。

  2. 创建 IKE 第 1 阶段策略。

  3. 配置 IKE 第 1 阶段网关参数。网关地址应为 SRX1 的 IP。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为 SRX2 配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 创建 IPsec 第 2 阶段策略。

  3. 配置 IPsec VPN 参数。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

NAT 设备的配置

CLI 快速配置

示例中使用了静态 NAT。静态 NAT 是双向的,这意味着从 10.1.31.1 到 172.16.11.1 的流量也将使用相同的 NAT 配置。

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

验证

要确认配置工作正常,请执行以下任务:

验证 SRX1 上的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

行动

在操作模式下,输入命令 show security ike security-associations 。要获得更详细的输出,请使用命令 show security ike security-associations detail

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用 show security ike security-associations index detail 该值来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。请记住,NAT-T 使用端口 4500 将 IKE 和 ESP 流量封装在 UDP 中。

  • 角色发起方状态

    • 启动 — 建立第 1 阶段 SA。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • IPsec SA 对中的两个对等方都在使用端口 4500。

    • 对等方 IKE ID — 验证远程地址是否正确。

    • 本地身份和远程身份 — 验证这些是否正确。

  • 模式 — 验证正在使用正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令会列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证 SRX1 上的 IPsec 安全性关联

目的

验证 IPsec 状态。

行动

在操作模式下,输入命令 show security ipsec security-associations 。要获得更详细的输出,请使用命令 show security ipsec security-associations detail

意义

命令 show security ipsec security-associations 输出列出以下信息:

  • 远程网关的地址为 172.16.21.1。

  • IPsec SA 对中的两个对等方都在使用端口 4500。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。2160/unlim 值表示第 2 阶段生存期将在 2160 秒后过期,未指定生存大小,表示没有限制。第 2 阶段生存期可以不同于第 1 阶段生存期,因为在建立 VPN 后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

验证 SRX2 上的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

行动

在操作模式下,输入命令 show security ike security-associations 。要获得更详细的输出,请使用命令 show security ike security-associations detail

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用 show security ike security-associations detail 该值来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色响应方状态

    • 已启动 — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • 对等方 IKE ID — 验证地址是否正确。

    • 本地身份和远程身份 — 验证这些地址是否正确。

  • 模式 — 验证正在使用正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令会列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证 SRX2 上的 IPsec 安全性关联

目的

验证 IPsec 状态。

行动

在操作模式下,输入命令 show security ipsec security-associations 。要获得更详细的输出,请使用命令 show security ipsec security-associations detail

意义

命令 show security ipsec security-associations 输出列出以下信息:

  • 远程网关的 IP 地址为 172.16.11.1。

  • IPsec SA 对中的两个对等方都在使用端口 4500。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。1562/unlim 值表示第 2 阶段生存期将在 1562 秒后过期,未指定生存大小,表示没有限制。第 2 阶段生存期可以不同于第 1 阶段生存期,因为在建立 VPN 后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

命令 show security ipsec security-associations index index_iddetail 输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是导致第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。

验证主机到主机的可达性

目的

验证 Host1 是否可以访问 Host2。

行动

从 Host1 ping Host2。要验证流量是否使用 VPN,请对 SRX1 使用命令 show security ipsec statistics 。在运行 ping 命令之前,请先使用该命令 clear security ipsec statistics 清除统计信息。

意义

输出显示 Host1 可以对 Host2 执行 ping 操作,并且流量正在使用 VPN。

也可以看看

示例:配置基于策略的 VPN,其中同时有发起方和响应方在 NAT 设备后面

此示例说明如何配置基于策略的 VPN,并在 NAT 设备后面同时具有发起方和响应方,以便在分支机构和企业办公室之间安全地传输数据。

要求

开始之前,请阅读 IPsec 概述

概述

在此示例中,您为伊利诺伊州芝加哥的分支办事处配置基于策略的 VPN,因为您希望保留隧道资源,但仍会对 VPN 流量有一些精细限制。分支机构的用户将使用 VPN 连接到位于加利福尼亚桑尼维尔的公司总部。

在此示例中,您将为发起方和响应方配置接口、路由选项、安全区域和安全策略。

图 2 显示了在静态 NAT 设备后面同时具有发起方和响应方的 VPN 拓扑示例。

图 2:基于策略的 VPN 拓扑,NAT 设备后面有一个发起方和一个响应方 Network topology with two SRX Series firewalls linked by a policy-based VPN tunnel. Chicago initiates VPN with IPs: 10.1.99.1/24 (trust) and 12.168.99.1/24 (untrust). Sunnyvale responds with IPs: 10.2.99.1/24 (trust) and 13.168.11.100/24 (untrust). NAT routers translate IPs for internet communication; Chicago to 1.1.100.23 and Sunnyvale to 1.1.100.22. Orange line indicates VPN tunnel for secure site-to-site communication.

在此示例中,您将配置接口、IPv4 默认路由和安全区域。然后,配置 IKE 第 1 阶段,包括本地和远程对等方、IPsec 第 2 阶段和安全策略。请注意,在上面的示例中,响应方的私有 IP 地址 13.168.11.1 被静态 NAT 设备隐藏,并映射到公共 IP 地址 1.1.100.1。

有关示例中用于发起方的特定配置参数,请参阅 表 7表 10

表 7:发起方的接口、路由选项和安全性区域

功能

姓名

配置参数

接口

ge-0/0/0

12.168.99.100/24
 

ge-0/0/1

10.1.99.1/24

静态路由

10.2.99.0/24(默认路由)

下一跃点为 12.168.99.100。
 

1.1.100.0/24

12.168.99.100

安全性区域

信任

  • 允许所有系统服务。

  • 允许所有协议。

  • ge-0/0/1.0 接口绑定到此区域。
 

不信任

  • ge-0/0/0.0 接口绑定到此区域。
表 8:发起方的 IKE 第 1 阶段配置参数

功能

姓名

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:组 2

  • 身份验证算法:md5

  • 加密算法:3des-cbc

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

  • IKE策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:1.1.100.23

  • 本地对等方是主机名 chicago

  • 远程对等方是主机名 sunnyvale
表 9:发起方的 IPsec 第 2 阶段配置参数

功能

姓名

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:hmac-md5-96

  • 加密算法:3des-cbc

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • 完全向前保密 (PFS):组 1

VPN

first_vpn

  • IKE 网关参考:门

  • IPsec 策略参考:ipsec_pol
表 10:发起方的安全性策略配置参数

目的

姓名

配置参数

安全策略允许从信任区域到非信任区域的隧道流量。

POL1

  • 匹配标准:

    • 源-地址任意

    • 目标地址任意

    • 应用 any

  • 操作:允许隧道 ipsec-vpn first_vpn

安全策略允许从不信任区域到信任区域的隧道流量。

POL1

  • 匹配标准:

    • 应用 any

  • 操作:允许隧道 ipsec-vpn first_vpn

有关示例中用于响应方的特定配置参数,请参阅 表 11表 14

表 11:响应方的接口、路由选项和安全性区域

功能

姓名

配置参数

接口

ge-0/0/0

13.168.11.100/24
 

ge-0/0/1

10.2.99.1/24

静态路由

10.1.99.0/24(默认路由)

下一跃点为 13.168.11.100
 

1.1.100.0/24

13.168.11.100

安全性区域

信任

  • 允许所有系统服务。

  • 允许所有协议。

  • ge-0/0/1.0 接口绑定到此区域。
 

不信任

  • ge-0/0/0.0 接口绑定到此区域。
表 12:响应方的 IKE 第 1 阶段配置参数

功能

姓名

配置参数

提议

ike_prop

  • 身份验证方法:预共享密钥

  • Diffie-Hellman 组:组 2

  • 身份验证算法:md5

  • 加密算法:3des-cbc

策略

ike_pol

  • 模式:主

  • 提议参考:ike_prop

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

  • IKE策略参考:ike_pol

  • 外部接口:ge-0/0/1.0

  • 网关地址:1.1.100.22

  • 始终发送失效对等体检测

  • 本地对等方是主机名 sunnyvale

  • 远程对等方是主机名 chicago
表 13:响应方的 IPsec 第 2 阶段配置参数

功能

姓名

配置参数

提议

ipsec_prop

  • 协议:esp

  • 身份验证算法:hmac-md5-96

  • 加密算法:3des-cbc

策略

ipsec_pol

  • 提议参考:ipsec_prop

  • 完全向前保密 (PFS):组 1

VPN

first_vpn

  • IKE 网关参考:门

  • IPsec 策略参考:ipsec_pol
表 14:响应方的安全性策略配置参数

目的

姓名

配置参数

安全策略允许从信任区域到非信任区域的隧道流量。

POL1

  • 匹配标准:

    • 源-地址任意

    • 目标地址任意

    • 应用 any

  • 操作:允许隧道 ipsec-vpn first_vpn

安全策略允许从不信任区域到信任区域的隧道流量。

POL1

  • 匹配标准:

    • 应用 any

  • 操作:允许隧道 ipsec-vpn first_vpn

配置

为发起方配置接口、路由选项和安全性区域

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由和安全区域,请执行以下操作:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 配置信任安全区域。

  4. 为信任安全区域分配接口。

  5. 为信任安全区域指定系统服务。

  6. 为不信任安全区域分配接口。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security zones 命令以确认您的配置 如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为发起方配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IKE,请执行以下操作:

  1. 创建 IKE 第 1 阶段提议。

  2. 定义 IKE 提议身份验证方法。

  3. 定义 IKE 提议 Diffie-Hellman 组。

  4. 定义 IKE 提议身份验证算法。

  5. 定义 IKE 提议加密算法。

  6. 创建 IKE 第 1 阶段策略。

  7. 设置 IKE 第 1 阶段策略模式。

  8. 指定对 IKE 提议的参考。

  9. 定义 IKE 第 1 阶段策略身份验证方法。

  10. 创建 IKE 第 1 阶段网关并定义其外部接口。

  11. 创建 IKE 第 1 阶段网关地址。

  12. 定义 IKE 第 1 阶段策略参考。

  13. 为本地对等方设置 local-identity

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为发起方配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 指定 IPsec 第 2 阶段提议协议。

  3. 指定 IPsec 第 2 阶段提议身份验证算法。

  4. 指定 IPsec 第 2 阶段提议加密算法。

  5. 指定 IPsec 第 2 阶段提议参考。

  6. 指定 IPsec 第 2 阶段以使用完全向前保密 (PFS) 组 1。

  7. 指定 IKE 网关。

  8. 指定 IPsec 第 2 阶段策略。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为发起方配置安全性策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置安全策略:

  1. 创建安全策略以允许从信任区域到非信任区域的流量。

  2. 创建安全策略以允许从不信任区域到信任区域的流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为发起方配置 NAT

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置提供 NAT 的发起方,请执行以下操作:

  1. 配置接口。

  2. 配置区域。

  3. 配置 NAT。

  4. 配置默认安全策略。

  5. 配置路由选项。

结果

在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为响应方配置接口、路由选项和安全性区域

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置接口、静态路由、安全区域和安全策略,请执行以下操作:

  1. 配置以太网接口信息。

  2. 配置静态路由信息。

  3. 为不信任安全区域分配接口。

  4. 配置信任安全区域。

  5. 为信任安全区域分配接口。

  6. 为信任安全区域指定允许的系统服务。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security zones 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为响应方配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IKE,请执行以下操作:

  1. 定义 IKE 提议身份验证方法。

  2. 定义 IKE 提议 Diffie-Hellman 组。

  3. 定义 IKE 提议身份验证算法。

  4. 定义 IKE 提议加密算法。

  5. 创建 IKE 第 1 阶段策略。

  6. 设置 IKE 第 1 阶段策略模式。

  7. 指定对 IKE 提议的参考。

  8. 定义 IKE 第 1 阶段策略身份验证方法。

  9. 创建 IKE 第 1 阶段网关并定义其动态主机名。

  10. 创建 IKE 第 1 阶段网关并定义其外部接口。

  11. 定义 IKE 第 1 阶段策略参考。

结果

在配置模式下,输入 show security ike 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为响应方配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置 IPsec:

  1. 创建 IPsec 第 2 阶段提议。

  2. 指定 IPsec 第 2 阶段提议协议。

  3. 指定 IPsec 第 2 阶段提议身份验证算法。

  4. 指定 IPsec 第 2 阶段提议加密算法。

  5. 创建 IPsec 第 2 阶段策略。

  6. 将 IPsec 第 2 阶段设置为使用完全向前保密 (PFS) 组 1。

  7. 指定 IPsec 第 2 阶段提议参考。

  8. 指定 IKE 网关。

  9. 指定 IPsec 第 2 阶段策略。

结果

在配置模式下,输入 show security ipsec 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为响应方配置安全性策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置安全策略:

  1. 创建安全策略以允许从信任区域到非信任区域的流量。

  2. 创建安全策略以允许从不信任区域到信任区域的流量。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

为响应方配置 NAT

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置提供 NAT 的响应方:

  1. 配置接口。

  2. 配置区域。

  3. 配置 NAT。

  4. 配置默认安全策略。

  5. 配置路由选项。

结果

在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

验证

要确认配置工作正常,请执行以下任务:

验证发起方的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

行动

开始验证流程之前,必须从 10.1.99.0 网络中的主机向 10.2.99.0 网络中的主机发送流量。对于基于路由的 VPN,防火墙通过隧道启动流量。建议在测试 IPsec 隧道时,将测试流量从 VPN 一端的单独设备发送到 VPN 另一端的另一台设备。例如,发起从 10.1.99.2 到 10.2.99.2 的 ping 操作。

在操作模式下,输入命令 show security ike security-associations 。从命令获取索引号后,请使用命令 show security ike security-associations index index_number detail

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用 show security ike security-associations index detail 该值来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色发起方状态

    • 已启动 — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • IPsec SA 对中的两个对等方都在使用端口 4500,表示已实施 NAT-T。(NAT-T 使用端口 4500 或其他随机大编号端口。)

    • 对等 IKE ID — 验证远程(响应方)ID 是否正确。在此示例中,主机名为 sunnyvale。

    • 本地身份和远程身份 — 验证这些是否正确。

  • 模式 — 验证正在使用正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令会列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证发起方的 IPsec 安全性关联

目的

验证 IPsec 状态。

行动

在操作模式下,输入命令 show security ipsec security-associations 。从命令获取索引号后,请使用命令 show security ipsec security-associations index index_number detail

意义

命令 show security ipsec security-associations 输出列出以下信息:

  • 远程网关的 NAT 地址为 13.168.11.100。

  • IPsec SA 对中的两个对等方都在使用端口 4500,表示已实施 NAT-T。(NAT-T 使用端口 4500 或其他随机大编号端口。)

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。3390/ unlimited 值表示第 2 阶段生存期将在 3390 秒后过期,未指定生存大小,表示没有限制。第 2 阶段生存期可以不同于第 1 阶段生存期,因为在建立 VPN 后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

验证响应方的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

行动

在操作模式下,输入命令 show security ike security-associations 。从命令获取索引号后,请使用命令 show security ike security-associations index index_number detail

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用 show security ike security-associations index detail 该值来获取有关 SA 的更多信息。

  • 远程地址 — 验证远程 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色响应方状态

    • 已启动 — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • 对等方 IKE ID — 验证对等方的本地 ID 是否正确。在此示例中,主机名为 chicago。

    • 本地身份和远程身份 — 验证这些是否正确。

  • 模式 — 验证正在使用正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令会列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证响应方的 IPsec 安全性关联

目的

验证 IPsec 状态。

行动

在操作模式下,输入命令 show security ipsec security-associations 。从命令获取索引号后,请使用命令 show security ipsec security-associations index index_number detail

意义

命令 show security ipsec security-associations 输出列出以下信息:

  • 远程网关的 NAT 地址为 1.1.100.23。

  • IPsec SA 对中的两个对等方都在使用端口 4500,表示已实施 NAT-T。(NAT-T 使用端口 4500 或其他随机大编号端口。)

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。3571/unlim 值表示第 2 阶段生存期将在 3571 秒后过期,未指定生存大小,表示没有限制。第 2 阶段生存期可以不同于第 1 阶段生存期,因为在建立 VPN 后,第 2 阶段不依赖于第 1 阶段。

  • 如 Mon 列中的连字符所示,没有为此 SA 启用 VPN 监控。如果启用 VPN 监控,U 表示监控已开启,而 D 表示监控已关闭。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

也可以看看

示例:使用动态端点 VPN 配置 NAT-T

此示例说明如何配置基于路由的 VPN,其中 IKEv2 发起方是 NAT 设备后面的动态端点。

要求

此示例使用以下硬件和软件组件:

  • 在一个机箱群集中配置了两个防火墙

  • 一台提供 NAT 的防火墙

  • 一道防火墙,为分支机构提供网络访问

  • 支持 IKEv2 NAT-T 的 Junos OS 版本

概述

在此示例中,在分支机构(IKEv2 发起方)和总部(IKEv2 响应方)之间配置了 IPsec VPN,以保护两个位置之间的网络流量。分支机构位于 NAT 设备后面。分支机构地址是动态分配的,响应方不知道。发起方配置了响应方的远程身份,以便进行隧道协商。此配置将在 NAT 设备上的对等方之间建立动态端点 VPN。

图 3 显示了使用 NAT-遍历 (NAT-T) 和动态端点 VPN 的拓扑示例。

图 3:带有动态端点 VPN Network topology diagram showing IPSec VPN tunnel connecting headquarters and branch office via internet. Headquarters in Trust Zone uses IPs 192.179.1.10 and 100.10.1.50. Branch office in Trust Zone uses IPs 192.179.100.50 and 192.179.2.20. NAT device in Untrust Zone facilitates connection. 的 NAT-T

在此示例中,发起方的 IP 地址 192.179.100.50(已动态分配给设备)被 NAT 设备隐藏并转换为 100.10.1.253。

以下配置选项在此示例中适用:

  • 在发起方上配置的本地身份必须与在响应方上配置的远程网关身份匹配。

  • 第 1 阶段和第 2 阶段选项必须在发起方和响应方之间匹配。

在此示例中,所有设备都使用了允许所有流量的默认安全策略。应为生产环境配置更严格的安全策略。请参阅 安全性策略概述

配置

配置分支机构设备(IKEv2 发起器)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置分支机构设备,请执行以下操作:

  1. 配置接口。

  2. 配置路由选项。

  3. 配置区域。

  4. 配置第 1 阶段选项。

  5. 配置第 2 阶段选项。

  6. 配置安全策略。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow security ipsecshow security zonesshow security ike、 和show security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置 NAT 设备

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置提供 NAT 的中间路由器,请执行以下操作:

  1. 配置接口。

  2. 配置区域。

  3. 配置 NAT。

  4. 配置默认安全策略。

结果

在配置模式下,输入 show interfacesshow security zonesshow security nat sourceshow security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置总部设备(IKEv2 响应方)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

  1. 将两个节点配置为机箱群集。

  2. 配置接口。

  3. 配置路由选项。

  4. 配置区域。

  5. 配置第 1 阶段选项。

  6. 配置第 2 阶段选项。

  7. 配置默认安全策略。

结果

在配置模式下,输入 show chassis clustershow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonesshow security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

验证

确认配置工作正常。

验证响应方的 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

行动

在节点 0 上的操作模式下,输入 show security ike security-associations 命令。从命令获取索引号后,请使用命令 show security ike security-associations detail

意义

show security ike security-associations 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则说明第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用 show security ike security-associations index index_id detail 该值来获取有关 SA 的更多信息。

  • 远程地址 — 验证本地 IP 地址是否正确,以及端口 4500 是否用于对等通信。

  • 角色响应方状态

    • 已启动 — 第 1 阶段 SA 已建立。

    • 关闭 — 建立第 1 阶段 SA 时出现问题。

    • 对等方 IKE ID — 验证地址是否正确。

    • 本地身份和远程身份 — 验证这些地址是否正确。

  • 模式 — 验证正在使用正确的模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是发送 IKE 数据包的接口)

  • IKE 策略参数

  • 预共享密钥信息

  • 第 1 阶段提议参数(必须在两个对等方上匹配)

show security ike security-associations 命令会列出有关安全关联的其他信息:

  • 使用的身份验证和加密算法

  • 第 1 阶段生存期

  • 流量统计(可用于验证流量是否在两个方向上正常流动)

  • 角色信息

    最好使用响应方角色在对等方上执行故障排除。

  • 发起方和响应方信息

  • 创建的 IPsec SA 数

  • 正在进行的第 2 阶段协商数

验证响应方的 IPsec 安全性关联

目的

验证 IPsec 状态。

行动

在节点 0 上的操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号后,请使用命令 show security ipsec security-associations detail

意义

命令 show security ipsec security-associations 输出列出以下信息:

  • 远程网关的 IP 地址为 100.10.1.253。

  • 两个方向都会显示 SPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。生存期值表示第 2 阶段生存期将在 7186 秒后过期,未指定生存大小,表示没有限制。第 2 阶段生存期可以不同于第 1 阶段生存期,因为在建立 VPN 后,第 2 阶段不依赖于第 1 阶段。

  • 虚拟系统 (vsys) 是根系统,始终列出 0。

命令 show security ipsec security-associations index index_id detail 输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是导致第 2 阶段故障的最常见原因之一。如果未列出 IPsec SA,请确认第 2 阶段提议(包括代理 ID 设置)与两个对等方匹配。对于基于路由的 VPN,默认代理 ID 为本地 = 0.0.0.0/0,远程 = 0.0.0.0/0,服务 = any。来自相同对等方 IP 的多个基于路由的 VPN 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 第 2 阶段失败的另一个常见原因是未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置追踪选项。

也可以看看

具有 IPsec VPN 行为的平台特定 NAT-T

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为。

表 15:特定于平台的行为
平台 差异
SRX 系列

  • 在支持 NAT-T 和 IPsec VPN 的 SRX5400、SRX5600 和 SRX5800 设备上,请注意以下隧道扩展限制:

    • 对于给定的专用 IP 地址,NAT 设备必须将 500 个和 4500 个专用端口转换为相同的公共 IP 地址。

    • 来自给定公共转换 IP 的隧道总数不能超过 1000 个隧道。

  • 在支持带有动态端点 VPN 的 NAT-T 的 SRX5600 和 SRX5800 设备上:

    • 当 IKE 对等方位于在协商期间更改 IKE 数据包源 IP 地址的 NAT 设备后面时,与 NAT-T 的IKE协商不起作用。例如,如果将 NAT 设备配置为动态 IP,则 NAT 设备将更改源 IP,因为 IKE 协议会将 UDP 端口从 500 切换到 5400。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
24.2R1
当 NAT-T 远程端口发生变化时,对等设备可能会在传入失效对等体检测 (DPD) 期间创建新会话,从而导致会话不匹配和流量中断。若要防止出现这种情况,可以启用优化的失效对等体检测。使用命令 set security ike gateway gateway-name dead-peer-detection optimized 以使用新端口号更新现有 NAT-T 会话,从而允许恢复流量。