Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

虚拟路由器中的安全隧道接口

安全隧道接口 (st0) 是基于路由的 VPN 用来将明文流量路由到 IPsec VPN 隧道的内部接口。

了解虚拟路由器对基于路由的 VPN 的支持

此功能包括对基于路由的 VPN 的路由实例支持。在以前的版本中,当 st0 接口放置在非默认路由实例中时,此接口上的 VPN 隧道无法正常工作。在 Junos OS 10.4 版本中,支持将 st0 接口放置在路由实例中,其中每个单元都配置为点对点模式或多点模式。因此,VPN 流量现在可以在非默认 VR 中正常工作。现在,您可以在不同的路由实例中配置 st0 接口的不同子单元。非默认路由实例支持以下函数:

  • 手动密钥管理

  • 过境交通

  • 自流量

  • VPN 监控

  • 中心辐射型 VPN

  • 封装安全有效负载 (ESP) 协议

  • 认证头 (AH) 协议

  • 积极模式或主模式

  • St0 锚定在环路 (LO0) 接口上

  • SRX 系列防火墙支持的最大虚拟路由器 (VR) 数量

  • 应用层网关 (ALG)、入侵检测和防御 (IDP) 以及内容安全等应用

  • 失效对端检测 (DPD)

  • 机箱群集 主动/备份

  • 基于 st0 的开放最短路径优先 (OSPF)

  • 通过 st0 的路由信息协议 (RIP)

  • VR 中基于策略的 VPN

了解虚拟路由器限制

在 SRX 系列防火墙上配置 VPN 时,支持跨虚拟路由器的 IP 地址重叠,但存在以下限制:

  • IKE 外部接口地址不能与任何其他虚拟路由器重叠。

  • 内部或信任接口地址可以在任何其他虚拟路由器之间重叠。

  • st0 接口地址不能在点对多点隧道(如 NHTB)中基于路由的 VPN 中重叠。

  • 在点对点隧道中基于路由的 VPN 中,st0 接口地址可以重叠。

另请参阅

示例:在虚拟路由器中配置 st0 接口

此示例说明如何在虚拟路由器中配置 st0 接口。

要求

开始之前,请配置接口并将接口分配给安全区域。请参阅“安全区域概述”。

概述

在本示例中,您将执行以下操作:

  • 配置接口。

  • 配置 IKE 第 1 阶段提议。

  • 配置 IKE 策略并引用提议。

  • 配置 IKE 网关并引用策略。

  • 配置第 2 阶段提议。

  • 配置策略并引用提议。

  • 配置 AutoKey IKE,并引用策略和网关。

  • 配置安全策略。

  • 配置路由实例。

  • 配置 VPN 绑定到隧道接口。

  • 配置路由选项。

图 1 显示了此示例中使用的拓扑。

图 1: 虚拟路由器中的安全隧道接口

配置参数如下表所示。

表 1: SRX1 的接口、路由实例、静态路由和安全区域信息

功能

名称

配置参数

接口

ge-0/0/0.0

10.1.1.2/30
 

ge-0/0/1.0

10.2.2.2/30
 

st0.0(隧道接口)

10.3.3.2/30

路由实例(虚拟路由器)

VR1

ge-0/0/1.0

st0.0

静态路由

10.6.6.0/24

下一跃点为 st0.0。

安全区域

trust

  • ge-0/0/1 接口绑定到此区域。
 

untrust

  • ge-0/0/0 接口绑定到此区域。

  • st0.0 接口绑定到此区域。
表 2: IKE 配置参数

功能

名称

配置参数

提议

first_ikeprop

  • 身份验证方法:预共享密钥

策略

first_ikepol

  • 模式:主

  • 提议参考:first_ikeprop

  • IKE 策略身份验证方法:预共享密钥

网关

第一

  • IKE 策略参考:first_ikepol

  • 外部接口:ge-0/0/0.0

  • 网关地址:10.4.4.2
表 3: IPsec 配置参数

功能

名称

配置参数

提议

first_ipsecprop

  • 协议:esp

  • 验证算法:HMAC-MD5-96

  • 加密算法:3DES-CBC

策略

first_ipsecpol

  • IPsec 提议参考:first_ipsecprop

VPN

first_vpn

  • IKE 网关参考:第一

  • IPsec 策略参考:first_ipsecpol

  • 绑定到接口:st0.0

  • 立即建立隧道

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要在 VR 中配置 st0:

  1. 配置接口。

  2. 配置安全区域。

  3. 配置 IPsec 隧道的第 1 阶段。

  4. 配置 IKE 策略并引用提议。

  5. 配置 IKE 网关并引用策略。

  6. 配置 IPsec 隧道的第 2 阶段。

  7. 配置策略并引用提议。

  8. 配置 AutoKey IKE,并引用策略和网关。

  9. 配置 VPN 绑定到隧道接口。

  10. 配置安全策略。

  11. 在路由实例中配置 st0。

  12. 配置路由选项。

成果

在配置模式下,输入 show securityshow routing-instances 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证虚拟路由器中的 st0 接口

目的

验证虚拟路由器中的 st0 接口。

操作

在操作模式下,输入 show interfaces st0.0 detail 命令。为路由表列出的编号对应于路由表在命令中的 顺序。show route all

另请参阅

相关主题