Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

虚拟路由器中的安全通道接口

安全通道接口(st0)是一种内部接口,由基于路由的 Vpn 用于将明文流量路由到 IPsec VPN 通道。

了解基于路由的 Vpn 的虚拟路由器支持

此功能包括基于路由的 Vpn 的路由实例支持。在以前的版本中,如果将 st0 接口放在非默认路由实例中,则此接口上的 VPN 隧道将无法正常工作。在 Junos OS 10.4 版本中,支持将 st0 接口放在路由实例中,其中每个单元都配置为点对点模式或多点模式。因此,VPN 信息流现在可以在非默认的 VR 中正常运行。您现在可以在不同路由实例中配置 st0 接口的不同 subunits。非默认路由实例支持以下功能:

  • 手动密钥管理

  • 传输流量

  • 自我信息流

  • VPN 监控

  • 中心辐射型 VPN

  • 封装安全有效负载(ESP)协议

  • 身份验证标头(AH)协议

  • 主动模式或主模式

  • st0 定位在环回(lo0)接口上

  • SRX 系列设备上支持的最大虚拟路由器数(VRs)

  • 应用层网关(ALG)、入侵检测和防御(IDP)和统一威胁管理(UTM)等应用程序

  • 死对等方检测(DPD)

  • 机箱集群活动/备份

  • St0 上的开放最短路径优先(OSPF)

  • St0 上的路由信息协议(RIP)

  • VR 内部基于策略的 VPN

了解虚拟路由器限制

在 SRX 系列设备上配置 VPN 时,支持跨虚拟路由器的 IP 地址重叠,但存在以下限制:

  • IKE 外部接口地址不能与任何其他虚拟路由器重叠。

  • 内部或信任接口地址可以在任何其他虚拟路由器上重叠。

  • St0 接口地址不能在点对点隧道(如 NHTB)中基于路由的 VPN 中重叠。

  • St0 接口地址在点对点隧道中可能会在基于路由的 VPN 中重叠。

示例:在虚拟路由器中配置 st0 接口

此示例说明如何在虚拟路由器中配置 st0 接口。

要求

开始之前,配置接口并将接口分配到安全区域。请参阅 "安全区域概述"。

概述

在此示例中,您执行以下操作:

  • 配置接口。

  • 配置 IKE 阶段1方案。

  • 配置 IKE 策略,并参考建议。

  • 配置 IKE 网关并引用策略。

  • 配置阶段2方案。

  • 配置策略并参考建议。

  • 配置 AutoKey IKE,并参考策略和网关。

  • 配置安全策略。

  • 配置路由实例。

  • 将 VPN 绑定配置为通道接口。

  • 配置路由选项。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 Junos OS CLI指南 中的 在配置模式下使用 CLI编辑器

要在 VR 中配置 st0:

  1. 配置接口。

  2. 配置 IPsec 隧道的阶段1。

  3. 配置 IKE 策略,并参考建议。

  4. 配置 IKE 网关并引用策略。

  5. 配置 IPsec 隧道的第2阶段。

  6. 配置策略并参考建议。

  7. 配置 AutoKey IKE,并参考策略和网关。

  8. 将 VPN 绑定配置为通道接口。

  9. 配置安全策略。

  10. 在路由实例中配置 st0。

  11. 配置路由选项。

成果

在配置模式下,输入show securityshow routing-instances命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

要确认配置是否正常运行,请执行以下任务:

验证虚拟路由器中的 st0 接口

用途

验证虚拟路由器中的 st0 接口。

行动

在操作模式下,输入show interfaces st0.0 detail 命令。为路由表列出的编号与路由表在show route all命令中的顺序对应。