Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于路由的 IPsec Vpn

基于路由的 VPN 是指在两个端点之间创建的 IPsec VPN 通道的配置,该路由根据目标 IP 地址确定将哪些信息流通过通道发送。

了解基于路由的 IPsec Vpn

借助基于路由的 Vpn,您可以配置数十个安全策略,以控制流经两个站点之间的单个 VPN 通道的信息流,并且在工作时只有一组 IKE 和 IPsec Sa。与基于策略的 Vpn (对于基于路由的 Vpn)不同,策略是指目标地址,而非 VPN 通道。当Junos OS查找路由以查找用于将流量发送到数据包目标地址的接口时,它将通过安全隧道接口 (st0.x)。通道接口绑定到特定 VPN 通道,如果策略操作允许,流量将路由到隧道。

安全通道(st0)接口同时支持一个 IPv4 地址和一个 IPv6 地址。这适用于所有基于路由的 Vpn。St0 disable接口上不支持此选项。

可以使用基于路由的 Vpn 的位置示例:

  • 两个 Lan 之间存在重叠的子网或 IP 地址。

  • 中心辐射型 VPN 拓扑在网络中使用,需要分支到轮辐流量。

  • 需要主要和备份 Vpn。

  • 动态路由协议(例如 OSPF、RIP 或 BGP)通过 VPN 运行。

    不支持通过点对点 VPN 接口配置 RIP 请求电路。

如果要在多个远程站点之间配置 VPN,建议使用基于路由的 VPN。基于路由的 VPN 允许在多个远程站点之间的分支路由;它更易于配置、监控和故障排除。

示例:配置基于路由的 VPN

此示例展示如何配置基于路由的 IPsec VPN,以便允许在两个站点之间安全地传输数据。

要求

此示例使用以下硬件:

  • 任何 SRX 系列设备

    • 使用更新版本vSRX更新Junos OS重新20.4R1。
注:

您是否有兴趣获得本指南中涵盖的主题和运营的实践经验?访问 瞻博网络实验室 并保留您的免费沙盒!您可以在安全类别找到基于 IPsec VPN 路由的沙盒。

开始之前,请阅读 IPsec 概述

概述

此示例在 SRX1 和 SRX2 上配置了基于路由的 VPN。Host1 和 Host2 使用 VPN 通过互联网在两个主机之间安全地发送流量。

图 1显示了基于路由的 VPN 拓扑的示例。

图 1: 基于路由的 VPN 拓扑 基于路由的 VPN 拓扑

在此示例中,您将配置接口、IPv4 默认路由和安全区域。然后,配置 IKE、IPsec、安全策略和 TCP-MSS 参数。有关本示例中使用的特定配置参数,请参阅表 1表 5

表 1: SRX1 的接口、静态路由、安全区域及安全策略信息

功能

名称

配置参数

接口

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

st 0.0 (通道接口)

10.100.200.1/24

静态路由

10.100.22.0/24

0.0.0.0/0

下一跳跃为 st 0.0。

下一跳跃是 172.16.13.2。

安全区域

相信

  • Ge-0/0/0.0 接口绑定到此区域。

 

不信任

  • Ge-0/0/1.0 接口绑定到此区域。

 

vpn

  • St 0.0 接口绑定到此区域。

表 2: IKE 配置参数

功能

名称

配置参数

标准

  • 身份验证方法:预共享密钥

策略

IKE-POL

  • 状态主页

  • 建议参考:标准

  • IKE 策略身份验证方法:预共享密钥

网关

IKE-GW

  • IKE 策略参考:IKE-POL

  • 外部接口:ge-0/0/1

  • 网关地址:172.16.23.1

表 3: IPsec 配置参数

功能

名称

配置参数

标准

  • 使用默认配置

策略

IPSEC-POL

  • 建议参考:标准

VPN

VPN-to-Host2

  • IKE 网关参考:IKE-GW

  • IPsec 策略参考:IPSEC-POL

  • 绑定到接口:st0.0

  • 立即建立隧道
表 4: 安全策略配置参数

用途

名称

配置参数

安全策略允许从信任区域到 VPN 区域的流量。

VPN-OUT

  • 匹配标准:

    • 源地址 Host1-Net

    • 目标地址 Host2-Net

    • 应用程序任何

  • 交办该类

安全策略允许从 VPN 区域到信任区域的流量。

VPN-in

  • 匹配标准:

    • 源地址 Host2-Net

    • 目标地址 Host1-Net

    • 应用程序任何

  • 交办该类

表 5: TCP-MSS 配置参数

用途

配置参数

TCP-MSS 作为 TCP 三路握手的一部分进行协商,并限制 TCP 分段的最大大小,以便更好地适应网络上的 MTU 限制。对于 VPN 流量,IPsec 封装开销以及 IP 和帧开销会导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。分段会增加带宽和设备资源。

我们建议将1350作为基于大多数以太网且 MTU 1500 或更高版本的网络的起始点。您可能需要试验不同的 TCP-MSS 值,以获得最佳性能。例如,如果路径中的任何设备具有较低的 MTU,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。

MSS 值:1350

配置

配置基本网络和安全区域信息

CLI 快速配置

要快速配置 SRX1 示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关操作说明,请参阅 CLI 指南

要配置接口、静态路由和安全区域信息:

  1. 配置接口。

  2. 配置静态路由。

  3. 将面向 Internet 的接口分配给不信任安全区域。

  4. 为不信任安全区域指定允许的系统服务。

  5. 将 Host1 面向接口分配给信任安全区域。

  6. 为信任安全区域指定允许的系统服务。

  7. 将安全通道接口分配给 VPN 安全区域。

  8. 为 VPN 安全区域指定允许的系统服务。

成果

从配置模式,输入show interfacesshow routing-optionsshow security zones命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

配置 IKE

CLI 快速配置

要快速配置 SRX1 示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 指南

要配置 IKE:

  1. 创建 IKE 建议。

  2. 定义 IKE 建议身份验证方法。

  3. 创建 IKE 策略。

  4. 设置 IKE 策略模式。

  5. 指定对 IKE 建议的参考。

  6. 定义 IKE 策略身份验证方法。

  7. 创建 IKE 网关并定义其外部接口。

  8. 定义 IKE 策略参考。

  9. 定义 IKE 网关地址。

成果

从配置模式,输入show security ike命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

配置 IPsec

CLI 快速配置

要快速配置 SRX1 示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关操作说明,请参阅 CLI 指南

要配置 IPsec:

  1. 创建 IPsec 建议。

  2. 创建 IPsec 策略。

  3. 指定 IPsec 建议参考。

  4. 指定 IKE 网关。

  5. 指定 IPsec 策略。

  6. 指定要绑定的接口。

  7. 将隧道配置为立即建立。

成果

从配置模式,输入show security ipsec命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

配置安全策略

CLI 快速配置

要快速配置 SRX1 的安全策略,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关操作说明,请参阅 CLI 指南

要配置安全策略:

  1. 为将在安全策略中使用的网络创建地址簿条目。

  2. 创建安全策略以允许从信任区域到不信任区域的流量到 Internet 的流量。

  3. 创建安全策略以允许来自信任区域中以 Host2 为目的地的主机 1 的流量。

  4. 创建安全策略以允许来自 VPN 区域中的 Host2 到信任区域中的 Host1 的流量。

成果

在配置模式下,输入show security address-bookshow security policies命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

配置 TCP-MSS

CLI 快速配置

要快速为 SRX1 配置 TCP MSS,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关操作说明,请参阅 CLI 指南

要配置 TCP-MSS 信息:

  1. 配置 TCP-MSS 信息。

成果

从配置模式,输入show security flow命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置 SRX2

CLI 快速配置

为了参考,提供了 SRX2 的配置。

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,卸下任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构的 CLI 中级别,然后从配置commit模式进入。

针对

执行这些任务以确认配置工作正常:

验证IKE状态

用途

验证 IKE 状态。

行动

在操作模式下,输入show security ike security-associations命令。从命令获取索引号之后,请使用show security ike security-associations index index_number detail命令。

含义

show security ike security-associations命令列出所有活动 IKE sa。如果未列出任何 Sa,则说明 IKE 建立有问题。检查配置中 IKE 策略参数和外部接口设置。

如果列出了 SAs,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在 命令中使用此值获取有关 show security ike security-associations index detail SA 详细信息。

  • 远程地址 - 验证远程 IP 地址是否正确。

  • State

    • UP - IKE SA 已建立。

    • DOWN - 建立安全 SA 时IKE问题。

  • 模式 - 验证是否使用了正确模式。

验证配置中的以下各项是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的界面)

  • IKE 策略参数

  • 预共享密钥信息

  • 建议参数(两个对等方必须匹配)

show security ike security-associations index 1859340 detail命令列出有关索引号为1859340的安全关联的附加信息:

  • 使用的身份验证和加密算法

  • 流量统计数据(可用于验证流量在两个方向上的流动是否正确)

  • 角色信息

    使用响应方角色,最好在对等方上执行故障排除。

  • 发起方和响应者信息

  • 创建的 IPsec Sa 数

  • 正在进行的协商数

验证 IPsec 状态

用途

验证 IPsec 状态。

行动

在操作模式下,输入show security ipsec security-associations命令。从命令获取索引号之后,请使用show security ipsec security-associations index index_number detail命令。

含义

show security ipsec security-associations命令的输出列出以下信息:

  • ID 号为131074。将此值与show security ipsec security-associations index命令一起使用,可获取有关此特定 SA 的详细信息。

  • 有一对 IPsec SA 对使用端口500,表示未实施任何 NAT 遍历。(NAT 遍历使用端口4500或其他随机高位端口。)

  • 为两个方向显示 SPIs、生存期(以秒为单位)和使用限制(或 lifesize/KB)。3403/ 不规则值表示生存期在 3403 秒内到期,并且未指定生命周期,这表示无限。生存期可能与 lifetime 不同,因为在 VPN 启动之后 IPsec 不依赖于 IKE。

  • 没有为此 SA 启用 VPN 监控,如 "周一列" 中的连字号所示。如果启用 VPN 监控,U 表示监控已开启,并且 D 表示监控已关闭。

  • 虚拟系统(vsys)是根系统,它始终列出0。

show security ipsec security-associations index 131074 detail命令的输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是 IPsec 故障的最常见原因之一。如果未列出 IPsec SA,请确认 IPsec 建议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 Vpn,默认代理 ID 为 local = 0.0.0.0/0、remote = 0.0.0.0/0 和服务 = any。来自相同对等方 IP 的多个基于路由的 Vpn 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定一个唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • IPsec 故障的另一个常见原因未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置跟踪选项。

测试通过 VPN 的流量

用途

验证 VPN 上的信息流。

行动

使用来自 Host1 设备的 ping 命令测试流向 Host2 的流量。

含义

如果命令在 Host1 中出现故障,则可能是 ESP 数据包的路由、安全策略、终端主机或 ping 加密和解密存在问题。

查看 IPsec 安全关联的统计数据和错误

用途

查看 IPsec 安全关联的 ESP 和身份验证标头计数器和错误。

行动

在操作模式下,使用show security ipsec statistics index index_number VPN 的索引编号输入要查看统计信息的命令。

您也可使用show security ipsec statistics命令查看所有 sa 的统计信息和错误。

要清除所有 IPsec 统计信息,请clear security ipsec statistics使用命令。

含义

如果看到 VPN 中的数据包丢失问题,请多次运行 或 命令以确认加密和解密数据包计数器 show security ipsec statisticsshow security ipsec statistics detail 是否正在递增。在命令输出中查找任何递增错误计数器。