本页内容
VPNv2 组概述
VPNv2 组技术概述
VPNv2 组是 MX5、MX10、MX40、MX80、MX104、MX240、MX480 和 MX960 路由器上的组 VPN 技术的名称。VPNv2 组不同于在 SRX 安全网关上实施的组 VPN 技术。本文中有时使用“组 VPN”一词来指代常规技术,而非 SRX 技术。
有关 SRX 安全网关设备上的组 VPN 的更多信息,请参阅 组 VPNv2 概述。
本节介绍 VPNv2 组的技术概念。
- 了解组 VPNv2
- VPNv2 组和标准 IPsec VPN
- 了解 GDOI 协议
- GDOI 协议和 VPNv2 组
- VPNv2 组流量
- 组安全关联
- 组控制器/密钥服务器
- 组成员
- 针对 VPNv2 组流量的防重放保护
- MX 系列产品路由器上的部分故障开放
了解组 VPNv2
组 VPN 是一个可信组,可消除点对点隧道及其关联的叠加路由。所有组成员共享一个通用安全关联 (SA),称为组 SA (GSA)。GSA 使组成员能够解密由任何其他组成员加密的流量。从 Junos OS 18.2R1 版开始,我们使用在 MX 路由器上运行的服务冗余协议 [SRD] 确认组 VPN 冗余。具有冗余的 MX 路由器充当组 VPN 成员。有关服务冗余协议的详细信息,请参阅 服务冗余守护程序概述。
从 Junos OS 15.1 版开始,Junos OS 支持组 VPNv2。组 VPNv2 是一种 VPN 类别,无需在网格架构中使用点对点 VPN 隧道。这是一组必要的功能,用于保护通过路由器发源或流经路由器的专用 WAN 的单播流量。
VPNv2 组引入了可信组的概念,以消除点对点隧道及其关联的叠加路由。所有组成员共享一个通用安全关联 (SA),也称为组 SA。这使组成员能够解密由任何其他组成员加密的流量。
VPNv2 组具有以下优势:
提供数据安全和传输身份验证,通过加密所有 WAN 流量,帮助满足安全合规性和内部法规要求。
支持大规模网络网格,并通过组加密密钥消除复杂的对等密钥管理。
减少由于组成员更改或策略更改而需要进行的端点更改数量。
维护 MPLS 网络中的全网状连接、自然路由路径和服务质量 (QoS) 等网络智能。
使用集中式密钥服务器授予经过身份验证的成员控制。
允许对组策略中定义的所有组成员之间的流量进行加密和解密。
通过实现站点之间的全时直接通信,无需通过中央中枢进行传输,有助于确保低延迟和抖动。
通过使用核心网络进行流量复制,减少客户端设备 (CPE) 和提供商边缘 (PE) 加密设备上的流量负载,从而避免在每个单独的对等站点上进行数据包复制。
VPNv2 组和标准 IPsec VPN
VPNv2 组基于标准的技术构建,可将网络中路由和加密集成在一起。IPsec 安全 SA 是 VPN 参与方之间的单向协议,定义了用于身份验证和加密算法、密钥交换机制以及安全通信的规则。
传统 IPsec VPN 部署基于点对点隧道创建叠加网络,解决了保护网络中网关之间流量安全的问题。在这些隧道上传输的流量通常经过加密和身份验证,以提供数据完整性和机密性。安全组成员通过组解释域协议 (GDOI) 进行管理。GDOI 解决方案将加密和身份验证问题与传输分离,从而采取不同的方法。通过这样做,基于 GDOI 的解决方案提供了一种无需配置分支机构到分支机构隧道即可对分支机构到分支机构通信进行加密的方法。
组
VPNv2 组是一种客户端/服务器架构。所有成员都有带有密钥服务器的唯一第 1 阶段 IKE SA。因此,如果有 n 成员,则总共 n 有第 1 阶段 IKE SA。但是,整个集团共享一个第 2 阶段 SA。
在传统 IPsec 中,隧道端点地址用作新的数据包源和目标。然后,该数据包通过 IP 基础架构路由,使用加密端点源 IP 地址和解密端点目标 IP 地址。使用组 VPN 时,受 IPsec 保护的数据包将主机的原始源地址和目的地址保留在外部 IP 报头中,以便保留 IP 地址。这称为隧道标头保留。隧道标头保留的最大优势是能够使用底层网络路由基础架构路由加密数据包。
特征 |
传统的点对点 IPsec 隧道 |
组 VPN |
|---|---|---|
可 伸缩 性 |
每对对等方之间的 IKE/IPsec 隧道会增加管理和配置的复杂性。 |
用于整个任意到任意组的单个 SA 和密钥对。降低管理和配置复杂性。 |
任意到任意位置的即时连接 |
由于管理和配置复杂,无法实现扩展。 |
由于组内使用 GDOI 和共享 SA,扩展性良好。 |
叠加路由 |
需要叠加路由。 |
无叠加原生路由。 |
IP 报头保留 |
将新 IP 报头添加到原始数据包中会导致高级服务质量 (QoS) 受限。将在 NAT 环境中工作。 |
将原始 IP 报头保留在 IPsec 数据包上。保留高级 QoS 功能。在 NAT 环境中不起作用。 |
了解 GDOI 协议
RFC 6407 中描述的组解释域 (GDOI) 协议用于将一组密钥和策略分发到一组设备。GDOI 定义为用于组密钥管理的互联网安全关联密钥管理协议 (ISAKMP) 解释域 (DOI)。在组管理模型中,GDOI 协议在组成员与组控制器或密钥服务器 (GC/KS) 之间运行,并为一组安全参与方管理组安全关联和组密钥。ISAKMP 定义了两个协商阶段。GDOI 是由第 1 阶段 ISAKMP 安全关联保护的第 2 阶段协议。RFC 6407 中将 IKEv1 指定为第 1 阶段协议。
GDOI 引入了两种不同的加密密钥:
密钥加密密钥 (KEK) — 用于保护控制平面的安全。KEK 是组成员用于解密来自 GC/KS 的重新密钥消息的密钥名称。此密钥是安全关联密钥加密密钥 (SAK) 的一部分。
流量加密密钥 (TEK) — 用于保护数据平面。TEK 是组成员用于对其他成员之间的通信进行加密或解密的密钥名称。此密钥是安全关联传输加密密钥 (SA TEK) 的一部分。
与标准 IPsec 一样,所有密钥都有一个生存期,必须重新密钥。通过 GDOI 分配的密钥是组密钥,可供整个组使用。
组 SA 和密钥管理通过两种类型的 GDOI 交换处理:
groupkey-pull-此交换允许成员从服务器请求 SA 和组共享的密钥。在拉取方法中,组成员向密钥服务器请求组 SA 和策略。此请求受 IKE SA 保护。
该
groupkey-pull交换是 GDOI 协议中的第一个交换,用于 GC/KS 的组成员注册。组成员指定要注册的组,如果成员有权加入组,GC/KS 会将所有必要的组 SA 和密钥发送至组成员。完整交换由第 1 阶段 SA (IKEv1 SA) 保护,该 SA 在交换开始前groupkey-pull由 IKEv1 建立。是groupkey-pullGDOI 协议第 2 阶段的一部分。groupkey-push-此交换是一条重新密钥消息,允许服务器在现有组 SA 到期之前向成员发送组 SA 和密钥。密钥消息是从服务器发送给成员的未经请求的消息。这是
groupkey-pushGDOI 协议中的第二个交换,由 GC/KS 向组中的所有注册成员发起。 表 2 显示了 MX 系列组成员希望在消息中groupkey-push接收的有效负载。表 2:组键推送消息有效负载 负载
描述
组关联策略 (GAP)
GAP 有效负载允许分配组范围策略,例如何时激活和停用 SA 的说明。此有效负载包含流量加密密钥 (TEK) 的激活时间延迟 (ATD) 和停用时间延迟 (DTD) 值,以及 IPsec 流量的 IP 交付延迟检测协议窗口类型和窗口大小。
安全关联传输加密密钥 (SA TEK)
流量选择器。
安全关联密钥加密密钥 (SAK)(可选)
密钥加密密钥 (KEK) 的安全关联 (SA)。也称为 SA KEK。
注意:groupkey-push不包含可选有效负载的消息仍然是有效的消息。流量加密密钥 (TEK)(可选)
用于对组成员之间的数据流量进行加密的密钥。
密钥加密密钥 (KEK)(可选)
用于保护 TEK。
交换
groupkey-push由在交换期间groupkey-pull安装的 SA KEK (SAK) 进行保护。是groupkey-pushGDOI 协议第 2 阶段的一部分。
在某些情况下,GC/KS 可能希望从组成员接收组密钥推送确认消息。来自组成员的推送确认消息会确认成员已收到消息并已对其策略采取措施。GC/KS 还可以使用确认来确定哪些组成员正在接收当前的组策略,以及哪些组成员不再参与该组。从 Junos OS 19.2R1 开始,当 Junos OS 收到一个在 RFC 8263 中定义的 SA KEK 有效负载中标准KEK_ACK_REQUESTED值为 9 或使用 129 的KEK_ACK_REQUESTED值为 129 的旧密钥服务器时,会发送具有 SHA-256 校验和的确认消息。
GDOI 协议和 VPNv2 组
VPNv2 组是瞻博网络的 MX5、MX10、MX40、MX240、MX480、MX960 路由器上实施的安全技术的名称。VPNv2 组除了使用其他功能外,还使用 GDOI 协议 (RFC 6407) 作为基础。
的 VPNv2 组
要获取组 SA 和组密钥,组成员必须在特定组的 GC/KS 中注册。结果就是 IKEv1 SA,它只是为了保护注册流程的安全而需要。注册后,组成员将拥有可与其他组成员通信的所有信息 (SA TEK),以及成功解密密钥重新密钥消息 (SAK) 的信息。在 SA TEK 或 SAK 生命周期到期之前,GC/KS 会发送重新密钥消息。还可以在同一密钥消息中发送 SA TEK 更新和 SAK 更新。IKEv1 SA 不再需要,将在生存期到期后删除(无 IKEv1 重新密钥)。
VPNv2 组流量
VPNv2 组流量包括:
控制平面流量 — 在组 VPNv2 部署中,从组成员到 GC/KS 的流量仅使用 GDOI 协议。
数据平面流量 — 在 VPNv2 组部署中,组成员之间的流量仅使用已通过 IPsec 知道的 ESP 协议。
组安全关联
与传统的 IPsec 加密解决方案不同,组 VPN 使用组安全关联的概念。组 SA 在功能上类似于 SA。组 SA 在一个通用 GDOI 组的所有组成员之间共享。组 VPN 组中的所有成员均可使用通用加密策略和共享组 SA 相互通信。使用通用加密策略和共享组 SA,无需在组成员之间协商 IPsec。这可减少组成员的资源负载。传统的 IPsec 可扩展性问题(隧道数量和相关 SA)不适用于组 VPN 组成员。
组控制器/密钥服务器
组控制器或密钥服务器 (GC/KS) 是用于创建和维护组 VPNv2 控制平面的设备。它负责创建和分发组 SA 和组密钥。组成员需要与其他组成员通信的所有信息均由 GC/KS 提供。所有加密策略(如有趣流量、加密协议、安全关联、密钥重新定时器等)均在 GC/KS 上集中定义,并在注册时下推至所有组成员。组成员使用 IKE Phase 1 使用 GC/KS 进行身份验证,然后下载组 VPN 操作所需的加密策略和密钥。此外,GC/KS 还负责刷新和分发密钥。
MX 系列路由器不支持 GC/KS 功能。配置为组成员的 MX 系列路由器只能与 Cisco GC/KS 连接。MX 系列组成员不支持与作为 GC 的瞻博网络 SRX 系列进行交互。有关各类组成员与 GC/KS 之间的兼容性,请参阅 表 5 。
组成员
组成员是用于流量加密过程的 IPsec 端点设备,负责对数据流量进行实际加密和解密。组成员配置了 IKE Phase 1 参数和 GC/KS 信息。加密策略在 GC/KS 上集中定义,并在成功注册时下载到组成员。然后,每个组成员都会根据其组成员身份确定是解密还是加密(使用 SA)的传入和传出流量。
从功能的角度来看,组成员类似于 IPsec 网关。但是,正常 IPsec 中的 SA 存在于两个 IPsec 网关之间。在 GDOI 中,组成员在 GC/KS 中注册,以便参与组 VPN。在注册期间,组成员向 GC/KS 提供组 ID,以获取此组所需的相应策略、SA 和密钥。密钥重新由组成员通过 groupkey-pull 方法(重新注册)或 GC/KS 通过该方法 groupkey-push 完成。
针对 VPNv2 组流量的防重放保护
由于组 VPN 通信本质上是通过同一共享安全关联的任意互连通信,因此使用序列号进行反重放保护不起作用。因此,Junos OS 支持基于时间的反重放机制 draft-weis-delay-detection-01 的 IETF 草案规范。可在 http://tools.ietf.org/html/draft-weis-delay-detection-01 获得。
为了实现此功能,MX 系列成员路由器在数据包中使用了新的 IP 交付延迟检测协议时间戳报头。有关详细信息 ,请参阅实施 IP 交付延迟检测协议(基于时间的反重放保护 )。
MX 系列产品路由器上的部分故障开放
组 VPN 中的组成员依靠 GC/KS 为共享 SA 生成密钥材料。因此,组成员与 GC/KSs 之间的连接必不可少,以便初步保护流量,并在重新密钥事件上持续保护流量。如果组成员与 GC/KS 之间出现通信故障,则组成员的默认行为是停止转发流量。这称为故障封闭。
非默认配置选项允许一些特定定义的流量流经组成员,在成员能够联系 GC/KS 并检索活动 SA 之前,无需加密。这称为部分故障开放。
部分故障开放功能需要一个策略配置选项,用于为源地址和目标地址定义的特定组 VPNv2 创建适用的 MX 系列组成员的规则。由于与密钥服务器的连接故障,仅当组 SA 处于禁用状态时,此故障开放规则才会激活。通常通过组 VPN 但与故障开放规则不匹配的流量将被丢弃。可以为组 VPN 对象定义多个故障开放规则。如果未配置故障开放规则,则禁用故障开放功能。
VPNv2 组实施概述
本节介绍瞻博网络用于实施 VPNv2 组的解决方案。
- 启用组 VPNv2
- 注册组成员
- 重新密钥组成员(组密钥推送方法)
- 重新密钥组成员(组键拉方法)
- 对组成员进行认证
- 分片组 VPNv2 流量
- 加密组 VPNv2 流量
- 解密组 VPNv2 流量
- 为 VPNv2 组配置路由实例
- 建立多个组、策略和 SA
- 连接多个合作 GC/KS
- 实施 IP 交付延迟检测协议(基于时间的反重放保护)
- 更改组 VPNv2 配置
- 绕过组 VPNv2 配置
- 在 MX 系列成员路由器上实施部分故障开放
- 支持的 GDOI IPsec 参数
- 支持的 GDOI IKEv1 参数
- 应用动态策略
- 支持 TOS 和 DSCP
- 组成员的互操作性
- VPNv2 组限制
启用组 VPNv2
服务集用于在适用的 MX 系列路由器上的特定接口上启用组 VPNv2。
配置服务集
组 VPNv2 是在层级使用 ipsec-group-vpn 语句 [edit services service-set service-set-name] 在服务集中配置的。
示例服务集配置 |
|---|
[edit services]
service-set service-set-name {
interface-service {
service-interface service-interface-name;
}
}
ipsec-group-vpn vpn-name;
|
每个服务集只能配置一个组成员。
组 VPNv2 不支持下一跳样式服务集。
应用服务集
服务集在接口级别应用。
应用服务集配置的示例 |
|---|
[edit interfaces]
interface-name {
unit 0 {
family inet {
service {
input {
service-set service-set-name;
}
output {
service-set service-set-name;
}
}
address 10.0.30.2/30;
}
}
}
|
数据包切换
接口样式的服务集配置用于将流量从数据包转发引擎引导至 PIC。服务集指向 VPNv2 组对象的接口上收到的数据包通过注入到相应的服务接口中,从而转发到 PIC。
注册组成员
当为服务集配置语句并启动服务接口时 ipsec-group-vpn ,将开始向服务器的组成员注册。服务接口关闭时,将清除与此接口关联的所有组 SA,在接口启动之前,不会为这些组 VPN 触发注册。
组成员注册涉及使用 GC/KS 建立 IKE SA,然后进行 groupkey-pull 交换以下载 SA 和指定组标识符的流量密钥。
Junos OS 不支持为 VPNv2 组中的组 VPN 触发基于流量的 SA 协商。
重新密钥组成员(组密钥推送方法)
GC/KS 将向注册的组成员发送单播 groupkey-push 消息,以便:
发送新密钥加密密钥 (KEK) 或流量加密密钥 (TEK)。
推送消息可以包含 表 2 所示的全部或部分有效负载元素。当 GAP 有效负载同时包含旧 SA 和新替换 SA 时,组成员路由器将通过推送将 ATD 和 DTD 值作为正常重新密钥应用。如果更新中没有 ATD 值,成员路由器将立即安装新的 SA。如果没有 DTD 值,旧 SA 将一直保留到其到期之前。
为现有 SA 更新组关联策略 (GAP)。
GC/KS 可以发送单播推送消息,随时向组成员更新配置。GAP 有效负载可以包括对 IP 交付延迟检测协议、加密算法、生存期等的配置更改。更新的配置可以立即应用,也可以延迟应用。ATD 和 DTD 值用于分别实现激活新 TEK 和删除现有 TEK 的计时。如果必须缩短现有的 TEK 生存期,则会在推送消息中相应地设置 DTD 值。推送消息中的新 TEK 会根据有效负载中的 ATD 值激活。
发送 TEK 或 KEK 的删除密钥通知。
GC/KS 可以在推送消息中发送用于删除成员上的密钥的可选删除通知有效负载和 SA。推送消息包含协议 ID,指示删除通知是针对 TEK 还是 KEK。组成员路由器会根据有效负载中包含的组 ID 和 SPI 值删除密钥。删除特定的 TEK 或 KEK 可以使用 DTD 属性中指定的延迟值来完成。如果延迟值为 0,且有效负载包含特定 SPI,则匹配的 TEK 或 KEK 将立即删除。如果需要删除组中的所有 TEK 或 KEK(或两者),则有效负载中的相应协议 ID 的 SPI 值设置为 0。
从 VPNv2 组 VPN 中移除成员路由器。
推送消息用于允许 GC/KS 从组 VPN 中删除成员。在一种情况下,GC/KS 发送一条仅包含旧 SA 和较小的 DTD 值的密钥消息。组成员路由器将安装较小的新的 DTD 值。由于未收到新的 SA 密钥,因此成员路由器会尝试使用
groupkey-pull此方法重新注册。此重新注册尝试被 GC/KS 拒绝,从而从组 VPN 中删除该成员。在第二种情况下,GC/KS 为旧 SA 的 SPI 发送删除有效负载。组成员路由器会立即删除 SA,并尝试使用groupkey-pull该方法重新注册。此重新注册尝试被 GC/KS 拒绝,从而从组 VPN 中删除该成员。
已注册的 MX 系列组成员将单播 PUSH ACK 消息发送回 GC/KS,以确认收到原始推送消息。
重新密钥组成员(组键拉方法)
对于组成员重新密钥,使用 groupkey-pull 此方法时,当现有 TEK 或 KEK 软生存期剩余 7% 到 5% 之间时,组成员通常向 GC/KS 重新注册。如果现有 IKE SA 可用,则用于拉取消息。GC/KS 使用新密钥响应后,可以使用旧密钥和新密钥进行解密。但是,在旧密钥的生存期为 30 秒之前,新密钥不会用于加密。如果现有 IKE SA 不可用,则拉取消息将导致组成员和 GC/KS 之间发生新的 IKE 协商。
从组成员收到有关特定组 VPN 的拉取消息后,GC/KS 会响应所有 TEK 和该组的 KEK。
如果 GC/KS 的响应中包含任何现有 SA,则组成员将删除丢失的 SA。
例如,GC/KS 的寿命为 3600 秒,并且连接到一个组成员,无需重新传输。根据服务器配置,当剩余生存期的 10% 时,GC/KS 将生成新密钥。但是,当剩余生命周期的 5% 至 7% 时,组成员会向 GC/KS 重新注册。
对组成员进行认证
Junos OS 不提供对 VPNv2 组 VPN 的公钥基础架构 (PKI) 支持。因此,预共享密钥用于组成员身份验证。
分片组 VPNv2 流量
由于报头保留功能和底层路由基础架构的使用,有必要在加密发生之前(如果无法阻止加密)之前对数据包进行分片。
因此,支持预分片,并建议对所有部署进行预分片。
为避免后分片,请为 DF 位设置 clearsetVPNv2 组配置中的 、 和copy选项。
根据此标志设置,IPsec 标头要么 df-bit 设置为 clear, set,要么 copy 来自内部数据包。
DF 位将 clear 选项设置为默认。
示例 DF 位配置 |
|---|
[edit]
security {
group-vpn {
member {
ipsec {
vpn group-vpn-name {
df-bit clear;
}
}
}
}
}
|
加密组 VPNv2 流量
组成员根据 GC/KS 提供的组 SA 和密钥对流量进行加密。组 VPNv2 加密路径如下所示:
数据包转发引擎接收的数据包会根据流匹配进行检查。如果找到匹配项,将进一步处理和传输数据包。
如果未找到匹配项,将执行规则查找。如果找到匹配项,将创建流,并进一步处理和传输数据包。
如果规则查找失败,将丢弃数据包。
数据包处理期间不会触发组 SA。
解密组 VPNv2 流量
注册成功并安装组 VPN SA 后,将创建 ESP 会话。VPNv2 组创建为零源和目标 IP 的 ESP 会话。由于 ESP 会话已在 SA 安装时创建,因此数据包应与现有 ESP 会话匹配。
组 VPNv2 解密路径如下所示:
数据包转发引擎接收的数据包将进行分片检查。如果数据包是分片的,则将其组装起来以便进一步处理。
数据包组装后或数据包未分片,在 5 元解密流查找中使用零源和目标 IP。如果找到匹配项,将进一步处理和传输数据包。
如果解密流查找失败,将根据源和目标 IP 为零的 SPI 流检查数据包。
如果 SPI 流查找失败,将丢弃数据包。
如果找到 SPI 流匹配项,将创建解密流,以避免对后续数据包进行 SPI 流查找。
为 VPNv2 组配置路由实例
控制流量和数据流量均支持路由实例。要使组成员在控制平面流量上启用路由实例支持以访问给定 VRF 路由实例中的 GC/KS,请 routing-instance 向 [edit security group-vpn member ike gateway gateway-name local-address address] 层次结构级别添加语句。
支持数据平面数据包的路由实例无需附加 CLI,因为它基于应用服务集的媒体接口确定。
建立多个组、策略和 SA
Junos OS 为每个 VPNv2 组中设置的服务提供一个组 VPN 支持。但是,您可以创建多个服务集以支持路由实例中的多个组。每个组均可配置多个 SA。但是,不支持同一流量密钥/SPI 的多个策略。如果服务器为同一 TEK 发送两个策略,则必须配对以接受,例如 A-B 和 B-A,其中 A 和 B 是 IP 地址或子网。如果收到给定 TEK 的多个未付款策略,则注册失败,并将生成系统日志消息。
连接多个合作 GC/KS
如果组成员在合作模式下使用 GC/KS,则配置会扩展为允许服务器列表中最多 4 个服务器。
在使用 groupkey-pull 该方法时重新密钥期间,组成员会尝试连接到 GC/KS。与 GC/KS 的连接失败时,组成员会尝试重新连接到 GC/KS。三次重试后,每 10 秒一次,如果与 GC/KS 的连接未恢复,则组成员会尝试与服务器列表上的下一个可用服务器建立连接。此过程会重复,直到组成员连接到 GC/KS。在此期间,组成员上未到期的 GDOI SA 不会被清理,因此组 VPN 流量不会受到影响。在这种情况下,重新密钥和硬生存期到期之间的时隙为组成员提供了足够的时间连接到下一个可用服务器。
实施 IP 交付延迟检测协议(基于时间的反重放保护)
实施 IP 交付延迟检测协议无需配置。MX 系列组成员获取重放窗口大小,以用作 GAP 有效负载的一部分,从密钥服务器推送或提取消息。如果收到的窗口大小为 0,则禁用基于时间的反重放保护。
如果启用了 IP 传递延迟检测协议,则发送方将添加其当前时间戳并加密数据包。接收方解密数据包,并将其当前时间与数据包中的时间戳进行比较。超出窗口大小的数据包将丢弃。因此,所有组成员都应使用网络时间协议 (NTP) 同步其时钟。
IP 交付延迟检测协议时间以秒为单位。有关更多信息 ,请参阅 IP 交付延迟检测协议-draft-weis-delay-detection-01 。
与 NTP 关联的所有延迟问题也适用于 IP 交付延迟检测协议。因此,建议将窗口大小最小为 1 秒。
更改组 VPNv2 配置
大多数组 VPNv2 配置更改都会导致删除现有 SA 并重新注册。这将使用新的流量密钥触发第 1 阶段和 SA 下载。
绕过组 VPNv2 配置
如果某些流量(如路由协议)需要绕过 VPNv2 组中的组 VPN,则需要在应用服务集的接口上配置服务过滤器。与服务过滤器匹配的数据包不会进入 PIC 进行服务处理,而是直接转发到路由引擎。
示例服务集过滤器配置 |
|---|
[edit interfaces]
interface-name {
unit 0 {
family inet {
service {
input {
service-set service-set-name service-filter filter-name;
}
output {
service-set service-set-name service-filter filter-name;
}
}
}
}
}
|
在 MX 系列成员路由器上实施部分故障开放
默认情况下,如果组成员路由器因连接中断而无法从 GC/KS 获取 SA,数据包将被删除。如果组成员与 GC/KS 之间出现通信故障,如果您希望允许某些流量以未加密的方式传输,则必须在 [edit security group-vpn member ipsec vpn vpn-name] 层次结构级别配置fail-open规则。
仅当服务器连接中断时,故障开放规则才会应用于流量。恢复连接并从 GC/KS 接收密钥后,故障开放规则将停用。
故障开放规则配置示例 |
|---|
[edit security group-vpn member ipsec vpn vpn-name]
fail-open {
rule rule-name{
source-address source-ip-address
destination-address destination-ip-address}
}
}
|
可以为任何给定组配置最多 10 个失败开放规则。
支持的 GDOI IPsec 参数
每个 GDOI 组都有一个唯一的 ID。它用作 GC/KS 和组成员之间的通用基础,用于通信组 SA 和组密钥。
在注册过程中,GC/KS 向组成员发送安全关联传输加密密钥 (SA TEK)。有关整个组安全策略的所有参数都在 GC/KS 上配置。组成员使用 SA TEK 来保护相互交换的流量。 表 3 显示了 SA TEK 的参数。
参数 |
支持的价值观 |
|---|---|
加密 |
|
诚信 |
|
一生 |
任何受支持的值 |
除了加密算法外,应该由组成员加密的流量也是 SA TEK 策略(流量选择器)的一部分。
以下语句可用于瞻博网络组成员。因此,必须在 IKE 层次结构级别下指定地址。此外,还会对列举进行优先级排序。因此,在以下示例配置中,联系 KS1 之前 KS2。
GDOI IPsec 参数配置示例 |
|---|
[edit security]
group-vpn {
member {
ike {
gateway gateway-name {
ike-policy policy-name;
server-address <IP_KS1> <IP_KS2> <IP_KS3> <IP_KS4>;
local-address <IP_GM> routing-instance routing-instance-name;
}
}
ipsec {
vpn vpn-group-name {
ike-gateway gateway-name;
fail-open {
rule rule-name {
source-address 198.51.100.1/24
destination-address 192.0.2.1/24
}
}
group group-ID;
match-direction output;
}
}
}
}
|
支持的 GDOI IKEv1 参数
| 参数 |
支持的价值观 |
|---|---|
| 加密 |
|
| 认证 |
预共享密钥(至少 20 个标志) |
| 诚信 |
|
| Diffie-Hellman Group |
|
| 一生 |
任何受支持的值 |
上述 IKEv1 标准配置如下:
应用动态策略
语句input下的ipsec-group-vpn和output选项指定当应用服务集的接口是传入接口还是传出接口时,是否使用从服务器接收的动态策略。这提供了在传入和传出方向上指定不同规则的灵活性。
支持 TOS 和 DSCP
服务类型 (TOS) 和 DiffServ 代码点 (DSCP) 位将从内部数据包复制到 ESP 数据包。
组成员的互操作性
Cisco 实施的 GDOI 称为组加密传输 (GET) VPN。虽然 Junos OS 中的组 VPNv2 和 Cisco 的 GET VPN 均基于 RFC 6407( 组解释域),但在包括瞻博网络安全和路由设备以及 Cisco 路由器的网络环境中部署 GDOI 时,您需要了解一些实施差异。有关更多信息,请参阅当前 Junos OS 发行说明。
VPNv2 组互操作性如下所示:
Junos OS 通过 Cisco IOS GC/KS 支持提供互操作性支持。
Junos OS 不支持与 SRX 系列组 VPN 服务器的 VPNv2 组互操作性。
表 5:VPNv2 组互操作性 组成员
SRX 组成员
MX 集团 VPNv2 成员
Cisco 组成员
SRX GC
SRX KS
Cisco GC/KS
MX 集团 VPNv2 成员
不
是的
是的
不
是的
是的
SRX 组成员
是的
不
不
是的
是的
是的
Junos OS 不支持 Cisco GC/SK 服务器上用于向组策略添加例外的拒绝策略。作为应对方案,可以在 MX 系列组成员上配置防火墙规则。此外,Junos OS 组成员可以通过不失败协商并简单地忽略内容来使用拒绝策略。这使得系统管理员能够轻松管理 Cisco 组成员和 Junos OS 组成员共存的网络。
VPNv2 组限制
Junos OS 组 VPNv2 不支持以下各项:
组播推送消息
组播流量
GDOI SNMP MIB
服务器发送的策略中的协议和端口。组成员仅提供策略中指定的 IP 地址/子网。
针对同一流量密钥/SPI 的多个未付款策略
IKE 网关配置中跨路由实例的本地和远程 IP 重叠
可能导致不匹配的 SA 的重叠组 VPNv2 策略
IPv6,用于控制和数据流量
IPsec 和组 VPN 在同一服务集上共存
同一服务集上的 NAT 和 ALG 等服务共存。NAT 和组 VPN 可以共存在不同的服务集上。但是,它们不能共存于同一服务集上。
站点到站点 (S2S) VPN 和动态端点 (DEP) VPN 可与不同服务集上的组 VPN 共存。但是,它们不能共存于同一服务集上。
同一服务集上的多个组
通过 SRX 系列 GC/KS 为集团成员提供支持
SRX 系列组成员的组成员支持
逻辑密钥层次结构 (LKH)
平滑重启
高可用性
统一 ISSU
用于身份验证的 PKI 支持