创建站点到站点 VPN

您的位置：网络 > VPN > IPsec VPN。

要创建站点到站点 VPN，请执行以下操作：

单击 “创建VPN ”，选择“IPsec VPN”页面右上方的 “站点到站点 ”。

此时将显示 Create Site to Site VPN 页面。
根据表 1 至表 6 中提供的准则完成配置。

VPN 连接将在拓扑中从灰线变为蓝线，表示配置已完成。
单击 “保存 ”以保存更改。

如果要放弃更改，请单击 “取消”。

表1：创建IPsec VPN页面字段
田	行动
名字	输入 VPN 的名称。
描述	输入描述。此说明将用于 IKE 和 IPsec 提议和策略。在编辑期间，将显示并更新 IPsec 策略说明。
路由模式	选择此 VPN 将关联到的路由模式：流量选择器（自动路由插入）静态路由动态路由 – OSPF 动态路由 – BGP 对于每个拓扑，J-Web 都会自动生成相关的 CLI。流量选择器是默认模式。
身份验证方法	从列表中选择设备用于验证互联网密钥交换（IKE）消息来源的身份验证方法：基于证书 - 数字签名的类型，即用于确认证书持有者身份的证书。以下是基于证书的身份验证方法： rsa-signatures — 指定使用支持加密和数字签名的公钥算法。 dsa-signatures — 指定使用数字签名算法（DSA）。 ecdsa-signatures-256 - 指定使用联邦信息处理标准（FIPS）数字签名标准（DSS） 186-3 中指定的 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA （ECDSA）。 ecdsa-signatures-384 — 指定使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。 ecdsa-signatures-521 - 指定使用 521 位椭圆曲线 secp521r1 的 ECDSA。注意： ecdsa-signatures-521 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。预共享密钥（默认方法） — 指定在身份验证期间使用预共享密钥（两个对等方之间共享的密钥）来相互识别对等方。必须为每个对等方配置相同的密钥。这是默认方法。
自动创建防火墙策略	如果选择 “是”，则防火墙策略会自动在内部区域和隧道接口区域之间使用，其中本地受保护网络为源地址，远程受保护网络为目标地址。反之亦然，将创建另一个防火墙策略。如果选择 “否”，则表示没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。注意：如果您不想在 VPN 工作流中自动创建防火墙策略，则将隐藏受保护的网络，以便在本地和远程网关中实现动态路由。
远程网关	在拓扑中显示远程网关图标。单击图标以配置远程网关。网关通过 IPsec VPN 对等方识别远程对等方，并为该 IPsec VPN 定义相应的参数。有关字段信息，请参阅表 2。
本地网关	在拓扑中显示本地网关图标。单击图标以配置本地网关。字段信息请参见表 4。
IKE 和 IPsec 设置	使用建议的算法或值配置自定义 IKE 或 IPsec 提议和自定义 IPsec 提议。有关字段信息，请参阅表 6。注意： J-Web 仅支持一个自定义 IKE 提议，不支持预定义的提议集。编辑并保存后，J-Web 会删除预定义的提议集（如果已配置）。在 VPN 隧道的远程网关上，您必须配置相同的自定义提议和策略。编辑后，如果配置了多个自定义提议，J-Web 将显示第一个自定义 IKE 和 IPsec 提议。

表 2：“远程网关”页面上的字段
田	行动
网关在 NAT 后面	如果启用，则配置的外部 IP 地址（IPv4 或 IPv6）称为 NAT 设备 IP 地址。
IKE 身份	从列表中选择一个选项以配置远程标识。
主机名	输入远程主机名。
IPv4 地址	输入远程 IPv4 地址。
IPv6 地址	输入远程 IPv6 地址。
密钥 ID	输入密钥 ID。
E-mail地址	输入电子邮件地址。
外部 IP 地址	输入对等方 IPv4 或 IPv6 地址。您可以创建一个最多有四个备份的主对等网络。您必须输入一个 IPv4 或 IPv6 地址，或者最多可以输入五个以逗号分隔的 IP 地址。
受保护的网络	选择路由模式时，列出所有全局地址。从“可用”列中选择地址，然后单击向右箭头将其移动到“已选择”列。当路由模式为：流量选择器 — IP 地址将在流量选择器配置中用作远程 IP。静态路由：将为选定的全局地址配置静态路由。本地网关的隧道接口（st0.x）将用作下一跃点。动态路由 - 默认值为 any。您还可以选择特定的全局地址。所选值将在防火墙策略中配置为目标地址。
加	单击 +。此时将显示“创建全局地址”页面。字段信息见表 3 。

表 3：“创建全局地址”页上的字段
田	行动
名字	输入必须以字母数字字符开头的唯一字符串，并且可以包含冒号、句点、破折号和下划线;不允许有空格;最多 63 个字符。
IP 类型	选择“IPv4”或“IPv6”。
IPv4	IPv4 地址 — 输入有效的 IPv4 地址。子网 — 输入 IPv4 地址的子网。
IPv6	IPv6 地址 — 输入有效的 IPv6 地址。子网前缀 - 输入网络范围的子网掩码。输入后，将验证该值。

表 4：“本地网关”页面上的字段
田	行动
网关在 NAT 后面	当本地网关位于 NAT 设备后面时，请启用此选项。
IKE 身份	从列表中选择一个选项以配置本地标识。当 Gateway is behind NAT 启用时，您可以配置 IPv4 或 IPv6 地址来引用 NAT 设备。
主机名	输入主机名。注意：仅当禁用 NAT 时，网关位于后面，此选项才可用。
IPv4 地址	输入 IPv4 地址。
IPv6 地址	输入 IPv6 地址。
密钥 ID	输入密钥 ID。注意：仅当禁用 NAT 时，网关位于后面，此选项才可用。
E-mail地址	输入电子邮件地址。注意：仅当禁用 NAT 时，网关位于后面，此选项才可用。
外部接口	从列表中选择用于 IKE 协商的传出接口。如果为指定接口配置了多个 IP 地址，则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。
隧道接口	从列表中选择一个接口，将其绑定到隧道接口（基于路由的 VPN）。单击 “添加 ”以添加新接口。此时将显示 Create Tunnel Interface 页面。请参阅表 5。
路由器 ID	输入路由设备的 IP 地址。注意：如果路由模式为动态路由 - OSPF 或 BGP，则此选项可用。
地区 ID	输入 0 到 4,294,967,295 范围内的区域 ID，需要配置此 VPN 的隧道接口。注意：如果路由模式为动态路由 - OSPF，则此选项可用。
隧道接口被动	启用此选项可绕过常规活动 IP 检查的流量。注意：如果路由模式为动态路由 - OSPF，则此选项可用。
ASN	输入路由设备的 AS 编号。使用 NIC 分配给您的编号。范围：对于 4 字节 AS 编号，为 1 到 4,294,967,295 （232 – 1），采用纯数字格式。注意：如果路由模式为动态路由 - BGP，则此选项可用。
邻接方 ID	输入相邻路由器的 IP 地址。注意：如果路由模式为动态路由 - BGP，则此选项可用。
BGP 组类型	从列表中选择 BGP 对等体组的类型：外部 — 外部组，允许 AS 间 BGP 路由。 internal — 内部组，允许 AS 内部 BGP 路由。注意：如果路由模式为动态路由 - BGP，则此选项可用。
对等 ASN	输入邻接方（对等方）自治系统（AS）编号。注意：如果选择 “外部 ”作为“BGP 组类型”，则此选项可用。
导入策略	从列表中选择一个或多个路由策略，以从 BGP 导入到路由表中的路由。单击 “全部清除” 以清除所选策略。注意：如果路由模式为动态路由 - BGP，则此选项可用。
导出策略	从列表中选择一个或多个策略，以便从路由表导出到 BGP 中的路由。单击 “全部清除” 以清除所选策略。注意：如果路由模式为动态路由 - BGP，则此选项可用。
本地证书	当本地设备有多个加载的证书时，选择本地证书标识符。注意：如果身份验证方法是基于证书的，则此选项可用。单击 “添加 ”以生成新证书。单击 “导入” 以导入设备证书。有关详细信息，请参阅管理设备证书。
受信任的 CA/组	从列表中选择证书颁发机构（CA）配置文件以将其与本地证书关联。注意：如果身份验证方法是基于证书的，则此选项可用。单击 “添加 ”以添加新的 CA 配置文件。有关详细信息，请参阅管理受信任的证书颁发机构。
预共享密钥	输入预共享密钥的值。密钥可以是以下项之一： ascii-text - ASCII 文本键。十六进制 - 十六进制键。注意：如果身份验证方法为预共享密钥，则此选项可用。
受保护的网络	单击 +。此时将显示“创建受保护的网络”页面。
创建受保护的网络
区	从列表中选择将用作防火墙策略中的源区域的安全区域。
全局地址	从“可用”列中选择地址，然后单击向右箭头将其移动到“已选择”列。
加	单击 “添加”。此时将显示“创建全局地址”页面。请参阅表 3。
编辑	选择要编辑的受保护网络，然后单击铅笔图标。此时将显示“编辑全局地址”页面，其中包含可编辑的字段。
删除	选择要编辑的受保护网络，然后单击删除图标。将弹出确认消息。单击 “是 ”删除。

表 5： Create Tunnel Interface 页面上的字段
田	行动
接口单元	输入逻辑单元编号。
描述	输入逻辑接口的描述。
区	从列表中选择逻辑接口的区域，用作防火墙策略中的源区域。单击 “添加 ”以添加新区域。输入区域名称和描述，然后在“创建安全区域”页面上单击“ 确定 ”。
路由实例	从列表中选择一个路由实例。
IPv4 注意：仅当选择路由模式为动态路由 - OSPF 或 BGP 时，此选项才可用。
IPv4 地址	输入有效的 IPv4 地址。
子网前缀	输入 IPv4 地址的子网掩码。
IPv6 注意：仅当选择路由模式为动态路由 - OSPF 或 BGP 时，此选项才可用。
IPv6 地址	输入有效的 IPv6 地址。
子网前缀	输入网络范围的子网掩码。输入后，将验证该值。

表 6：IKE 和 IPsec 设置
田	行动
IKE 设置
IKE 版本	选择所需的 IKE 版本（v1 或 v2）以协商 IPsec 的动态安全关联（SA）。默认值为 v2。
IKE 模式	从列表中选择 IKE 策略模式：积极 — 采用主模式消息数的一半，协商能力较弱，且不提供身份保护。 main — 在三个对等交换中使用六条消息建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。还提供身份保护。
加密算法	从列表中选择适当的加密机制。默认值为 aes-256-gcm。
身份验证算法	从列表中选择身份验证算法。例如，hmac-md5-96 - 生成 128 位摘要，hmac-sha1-96 - 生成 160 位摘要。注意：当加密算法不是 gcm 时，此选项可用。
DH组	Diffie-hellman （DH）交换允许参与方生成一个共享的密钥值。从列表中选择适当的 DH 组。默认值为 group19。
生存秒数	选择 IKE 安全关联（SA）的生存期。默认值：28,800 秒。范围：180 到 86,400 秒。
失效对等体检测	启用此选项可发送不工作对等方检测请求，而不管是否有传出 IPsec 流量到对等方。
DPD 模式	从列表中选择其中一个选项：优化 — 仅当有传出流量且没有传入数据流量时发送探测 - RFC3706（默认模式）。 probe-idle-tunnel — 发送探测与优化模式相同，也没有传出和传入数据流量时也是如此。 always-send — 定期发送探测，不考虑传入和传出的数据流量。
DPD 间隔	选择以秒为单位的时间间隔以发送失效对等方检测消息。默认间隔为 10 秒。范围为 2 到 60 秒。
DPD 阈值	选择一个从 1 到 5 的数字以设置故障 DPD 阈值。这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。
高级配置（可选）
通用 IKE ID	启用此选项可接受对等 IKE ID。
IKEv2 重新认证	配置重新身份验证频率以触发新的 IKEv2 重新身份验证。
IKEv2 重新分段	默认情况下，此选项处于启用状态。
IKEv2 重新分段大小	在将 IKEv2 消息拆分为多个片段之前，选择该消息的最大大小（以字节为单位）。此大小适用于 IPv4 和 IPv6 消息。范围：570 到 1320 字节。默认值为： IPv4 消息 - 576 字节。 IPv6 消息 - 1280 字节。
NAT-T	启用此选项可让 IPsec 流量通过 NAT 设备。 NAT-T 是一种 IKE 第 1 阶段算法，用于尝试在两个网关设备之间建立 VPN 连接，其中一台 SRX 系列设备前面有一个 NAT 设备。
NAT 保持活力	选择适当的激活间隔（以秒为单位）。范围：1 到 300。如果预计 VPN 会有很长的时间不活动，您可以配置激活值来生成人工流量，以使会话在 NAT 设备上保持活动状态。
IPsec 设置
协议	从列表中选择封装安全协议（ESP）或认证头（AH）协议以建立 VPN。默认值为 ESP。
加密算法	选择加密方法。默认值为 aes-256-gcm。注意：此选项仅适用于 ESP 协议。
身份验证算法	从列表中选择 IPsec 身份验证算法。例如，hmac-md5-96 - 生成 128 位摘要，hmac-sha1-96 - 生成 160 位摘要。注意：当加密算法不是 gcm 时，此选项可用。
完全向前保密	从列表中选择“完全向前保密（PFS）”。设备使用此方法生成加密密钥。默认值为 group19。 PFS 独立于前一个密钥生成每个新加密密钥。编号越高的组安全性越高，但需要更长的处理时间。注意： group15、group16 和 group21 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。
生存秒数	选择 IPsec 安全关联（SA）的生存期（以秒为单位）。当 SA 到期时，它将被新的 SA 和安全参数索引（SPI）取代或终止。默认值为 3,600 秒。范围：180 到 86,400 秒。
生存期千字节	选择 IPsec SA 的生存期（以千字节为单位）。默认值为 128kb。范围：64 到 4294967294。
建立隧道	启用此选项可建立 IPsec 隧道。在配置 VPN 并进行配置更改后，IKE 将立即激活（默认值）。
高级配置
VPN 监控器	启用此选项可在目标 IP 地址中使用它。注意：此选项不适用于流量选择器路由模式。
目标 IP	输入互联网控制信息协议（ICMP） ping 的目标。默认情况下，设备使用对等方的网关地址。注意：此选项不适用于流量选择器路由模式。
优化	为 VPN 对象启用此选项。如果启用，SRX 系列设备只会在有传出流量且没有来自配置的对等方通过 VPN 隧道的传入流量时发送 ICMP 回显请求（ping）。如果有通过 VPN 隧道的传入流量，SRX 系列设备会将隧道视为活动状态，不会向对等方发送 ping。默认情况下，此选项处于禁用状态。注意：此选项不适用于流量选择器路由模式。
源接口	从列表中选择 ICMP 请求的源接口。如果未指定源接口，设备将自动使用本地隧道端点接口。注意：此选项不适用于流量选择器路由模式。
验证路径	启用此选项可在安全隧道（st0）接口激活并将与接口关联的路由安装到 Junos OS 转发表之前验证 IPsec 数据路径。默认情况下，此选项处于禁用状态。注意：此选项不适用于流量选择器路由模式。
目标 IP	输入目标 IP 地址。NAT 设备后面的对等隧道端点的原始未转换 IP 地址。此 IP 地址不能是 NAT 转换的 IP 地址。如果对等隧道端点位于 NAT 设备后面，则此选项是必需的。验证路径 ICMP 请求将发送到此 IP 地址，以便对等方可以生成 ICMP 响应。注意：此选项不适用于流量选择器路由模式。
数据包大小	输入在启用 st0 接口之前用于验证 IPsec 数据通路的数据包大小。范围：64 到 1350 字节。默认值为 64 字节。注意：此选项不适用于流量选择器路由模式。
防重放	IPsec 通过使用 IPsec 数据包中内置的数字序列来抵御 VPN 攻击 - 系统不接受具有相同序列号的数据包。默认情况下，此选项处于启用状态。防重放会检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制出现错误，导致数据包乱序，从而妨碍正常运行，请禁用防重放。
安装间隔	选择允许在设备上安装密钥重新设置的出站安全关联（SA）的最大秒数。选择一个介于 1 到 10 之间的值。
空闲时间	选择空闲时间间隔。如果未收到流量，会话及其相应的转换会在一段时间后超时。范围为 60 到 999999 秒。
DF 位	选择设备如何处理外部标头中的不分段（DF）位： clear — 清除（禁用）外部标头中的 DF 位。这是默认设置。 copy — 将 DF 位复制到外部标头。 set - 在外部标头中设置（启用）DF 位。
复制外部 DSCP	默认情况下，此选项处于启用状态。这样就可以将差异服务代码点（DSCP）（外部 DSCP+ECN）从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。开启该功能后，IPsec解密后，明文数据包可以遵循内部CoS（DSCP+ECN）规则。

创建站点到站点 VPN

相关主题