Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建站点到站点 VPN

您的位置是:网络> VPN > IPsec VPN

要创建站点到站点 VPN,请执行以下操作:

  1. 单击创建 VPN,然后选择 IPsec VPN 页面右上角的站点到站点

    此时将显示“创建站点到站点 VPN”页面。

  2. 根据表 1表 6 中提供的指南完成配置。

    VPN 连接将在拓扑中从灰线变为蓝线,以显示配置已完成。

  3. 单击 保存 以保存更改。

    如果要放弃更改,请单击 “取消”。

表 1:创建 IPsec VPN 页面上的字段

领域

行动

名字

输入 VPN 的名称。

描述

输入描述。此说明将用于 IKE 和 IPsec 提议和策略。在编辑过程中,将显示并更新 IPsec 策略说明。

路由模式

选择此 VPN 将关联的路由模式:

  • 流量选择器(自动路由插入)

  • 静态路由

  • 动态路由 – OSPF

  • 动态路由 – BGP

对于每个拓扑,J-Web 自动生成相关的 CLI。流量选择器是默认模式。

身份验证方法

从列表中选择设备用于验证互联网密钥交换 (IKE) 消息源的身份验证方法:

  • 基于证书 - 数字签名的类型,即确认证书持有者身份的证书。

    以下是基于证书的身份验证方法:

    • rsa 签名 — 指定使用支持加密和数字签名的公钥算法。

    • DSA 签名 - 指定使用数字签名算法 (DSA)。

    • ecdsa-signatures-256 — 指定使用联邦信息处理标准 (FIPS) 数字签名标准 (DSS) 186-3 中指定的使用 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA (ECDSA)。

    • ecdsa-signatures-384 - 指定使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。

    • ecdsa-signatures-521 — 指定使用使用 521 位椭圆曲线 secp521r1 的 ECDSA。

      注意:

      ecdsa-signatures-521 仅支持安装了 SPC3 卡和 Junos-IKE 软件包的SRX5000系列设备。

  • 预共享密钥(默认方法)— 指定在身份验证期间使用预共享密钥(即两个对等方之间共享的私有密钥)来相互标识对等方。必须为每个对等方配置相同的密钥。这是默认方法。

自动创建防火墙策略

如果选择 “是”,则内部区域和隧道接口区域之间会自动设置防火墙策略,其中本地受保护网络作为源地址,远程受保护网络作为目标地址。

将创建另一个防火墙策略,反之亦然。

如果选择 “否”,则没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。

注意:

如果您不想在 VPN 工作流中自动创建防火墙策略,则会隐藏受保护的网络,以便在本地和远程网关中进行动态路由。

远程网关

在拓扑中显示远程网关图标。单击该图标以配置远程网关。

网关将远程对等方与 IPsec VPN 对等方标识,并为该 IPsec VPN 定义适当的参数。

字段信息请参见 表2

本地网关

在拓扑中显示本地网关图标。单击该图标以配置本地网关。

字段信息请参见 表4

IKE 和 IPsec 设置

使用建议的算法或值配置自定义 IKE 或 IPsec 提议以及自定义 IPsec 提议。

字段信息请参见 表 6

注意:
  • J-Web 仅支持一个自定义 IKE 提议,不支持预定义的提议集。编辑并保存后,J-Web 会删除预定义的提议集(如果已配置)。

  • 在 VPN 隧道的远程网关上,您必须配置相同的自定义提议和策略。

  • 编辑后,如果配置了多个自定义提议,J-Web 会显示第一个自定义 IKE 和 IPsec 提议。

表 2:远程网关页面上的字段

领域

行动

网关位于 NAT 后面

如果启用,配置的外部 IP 地址(IPv4 或 IPv6)称为 NAT 设备 IP 地址。

IKE 身份

从列表中选择一个选项以配置远程标识。

主机名

输入远程主机名。

IPv4 地址

输入远程 IPv4 地址。

IPv6 地址

输入远程 IPv6 地址。

密钥 ID

输入密钥 ID。

电子邮件地址

输入电子邮件地址。

外部 IP 地址

输入对等 IPv4 或 IPv6 地址。您可以创建一个具有最多四个备份的主对等网络。

您必须输入一个 IPv4 或 IPv6 地址,或者最多可以输入五个以逗号分隔的 IP 地址。

受保护的网络

选择路由模式时,会列出所有全局地址。

从“可用”列中选择地址,然后单击向右箭头将其移动到“已选择”列。

当路由模式为:

  • 流量选择器 — IP 地址将用作流量选择器配置中的远程 IP。

  • 静态路由:

    • 将为选定的全局地址配置静态路由。

    • 本地网关的隧道接口 (st0.x) 将用作下一跃点。

  • 动态路由 - 默认值为 any。您还可以选择特定的全局地址。所选值将配置为防火墙策略中的目标地址。

添加

单击 +

此时将显示“创建全局地址”页面。有关字段信息,请参阅 表 3

表 3:创建全局地址页面上的字段

领域

行动

名字

输入必须以字母数字字符开头的唯一字符串,并且可以包含冒号、句点、短划线和下划线;不允许有空格;最多 63 个字符。

IP 类型

选择 IPv4 或 IPv6。

IPv4

IPv4 地址 — 输入有效的 IPv4 地址。

子网 — 输入 IPv4 地址的子网。

IPv6

IPv6 地址 — 输入有效的 IPv6 地址。

子网前缀 - 输入网络范围的子网掩码。输入后,将验证该值。

表 4:本地网关页面上的字段

领域

行动

网关位于 NAT 后面

当本地网关位于 NAT 设备后面时,启用此选项。

IKE 身份

从列表中选择一个选项以配置本地标识。启用 NAT 后 网关时,您可以配置 IPv4 或 IPv6 地址来引用 NAT 设备。

主机名

输入主机名。

注意:

仅当 禁用网关位于 NAT 后面 时,此选项才可用。

IPv4 地址

输入 IPv4 地址。

IPv6 地址

输入 IPv6 地址。

密钥 ID

输入密钥 ID。

注意:

仅当 禁用网关位于 NAT 后面 时,此选项才可用。

电子邮件地址

输入电子邮件地址。

注意:

仅当 禁用网关位于 NAT 后面 时,此选项才可用。

外部接口

从列表中选择用于 IKE 协商的传出接口。

如果为指定接口配置了多个 IP 地址,则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。

隧道接口

从列表中选择一个接口以将其绑定到隧道接口(基于路由的 VPN)。

单击 添加 以添加新接口。此时将显示创建隧道接口页面。请参阅 表 5

路由器 ID

输入路由设备的 IP 地址。

注意:

如果路由模式为动态路由 - OSPF 或 BGP,则此选项可用。

区域 ID

输入 0 到 4,294,967,295 范围内的区域 ID,其中需要配置此 VPN 的隧道接口。

注意:

如果路由模式为动态路由 - OSPF,则此选项可用。

隧道接口被动

启用此选项可绕过常规活动 IP 检查的流量。

注意:

如果路由模式为动态路由 - OSPF,则此选项可用。

ASN

输入路由设备的 AS 编号。

使用网卡分配给您的号码。范围:对于 4 字节 AS 编号,1 到 4,294,967,295 (232 – 1),采用纯数字格式。

注意:

如果路由模式为动态路由 - BGP,则此选项可用。

邻居 ID

输入相邻路由器的 IP 地址。

注意:

如果路由模式为动态路由 - BGP,则此选项可用。

BGP 组类型

从列表中选择 BGP 对等组的类型:

  • 外部 — 外部组,允许 AS 间 BGP 路由。

  • 内部 — 内部组,允许 AS 内部 BGP 路由。

注意:

如果路由模式为动态路由 - BGP,则此选项可用。

对等 ASN

输入邻居(对等)自治系统 (AS) 编号。

注意:

如果选择 外部 作为 BGP 组类型,则此选项可用。

导入策略

从列表中选择一个或多个路由策略,以从 BGP 导入路由表中的路由。

单击 全部 清除以清除选定的策略。

注意:

如果路由模式为动态路由 - BGP,则此选项可用。

导出策略

从列表中选择一个或多个策略,以路由从路由表导出到 BGP 中。

单击 全部 清除以清除选定的策略。

注意:

如果路由模式为动态路由 - BGP,则此选项可用。

本地证书

当本地设备具有多个加载的证书时,选择本地证书标识符。

注意:

如果身份验证方法基于证书,则此选项可用。

单击 添加 以生成新证书。单击 导入 以导入设备证书。有关详细信息 ,请参阅管理设备证书

受信任的 CA/组

从列表中选择证书颁发机构 (CA) 配置文件以将其与本地证书关联。

注意:

如果身份验证方法基于证书,则此选项可用。

单击 添加 以添加新的 CA 配置文件。有关详细信息 ,请参阅管理受信任的证书颁发机构

预共享密钥

输入预共享密钥的值。密钥可以是以下项之一:

  • ASCII 文本 — ASCII 文本密钥。

  • 十六进制 - 十六进制键。

注意:

如果身份验证方法是预共享密钥,则此选项可用。

受保护的网络

单击 +。此时将显示“创建受保护的网络”页面。

创建受保护的网络

从列表中选择将用作防火墙策略中的源区域的安全区域。

全局地址

从“可用”列中选择地址,然后单击向右箭头将其移动到“已选择”列。

添加

单击 “添加”。

此时将显示“创建全局地址”页面。参见 表 3

编辑

选择要编辑的受保护网络,然后单击铅笔图标。

此时将显示“编辑全局地址”页面,其中包含可编辑字段。

删除

选择要编辑的受保护网络,然后单击删除图标。

弹出确认消息。

单击 “是 ”删除。

表 5:创建隧道接口页面上的字段

领域

行动

接口单元

输入逻辑单元号。

描述

输入逻辑接口的描述。

从列表中选择逻辑接口的区域,以用作防火墙策略中的源区域。

单击 “添加 ”以添加新区域。输入区域名称和描述,然后在创建安全区域页面上单击 确定

路由实例

从列表中选择路由实例。

IPv4
注意:

仅当选择路由模式作为动态路由 - OSPF 或 BGP 时,此选项才可用。

IPv4 地址

输入有效的 IPv4 地址。

子网前缀

输入 IPv4 地址的子网掩码。

IPv6
注意:

仅当选择路由模式作为动态路由 - OSPF 或 BGP 时,此选项才可用。

IPv6 地址

输入有效的 IPv6 地址。

子网前缀

输入网络范围的子网掩码。输入后,将验证该值。

表 6:IKE 和 IPsec 设置

领域

行动

IKE 设置

IKE 版本

选择所需的 IKE 版本(v1 或 v2)以协商 IPsec 的动态安全关联 (SA)。

默认值为 v2。

IKE 模式

从列表中选择 IKE 策略模式:

  • 主动 — 获取主模式一半的消息数,协商能力较低,并且不提供身份保护。

  • main — 在三次对等交换中使用六条消息建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。还提供身份保护。

加密算法

从列表中选择适当的加密机制。

默认值为 aes-256-gcm。

身份验证算法

从列表中选择身份验证算法。例如,hmac-md5-96 — 生成 128 位摘要,hmac-sha1-96 — 生成 160 位摘要。

注意:

当加密算法不是 gcm 时,此选项可用。

DH集团

Diffie-Hellman (DH) 交换允许参与者生成共享的密钥值。从列表中选择相应的 DH 组。默认值为 group19。

终身秒数

选择 IKE 安全关联 (SA) 的生存期。默认值:28,800 秒。范围:180 到 86,400 秒。

失效对等体检测

启用此选项可发送失效对等方检测请求,而不管是否存在传出 IPsec 流量到对等方。

DPD 模式

从列表中选择一个选项:

  • 已优化 - 仅在有传出流量而没有传入数据流量时发送探测 - RFC3706(默认模式)。

  • probe-idle-tunnel - 发送探测的方式与优化模式下相同,也没有传出和传入数据流量时发送探测。

  • 始终发送 — 无论传入和传出数据流量如何,都会定期发送探测。

DPD 间隔

选择发送失效对等方检测消息的间隔(以秒为单位)。默认间隔为 10 秒。范围为 2 到 60 秒。

DPD 阈值

选择一个介于 1 到 5 之间的数字以设置故障 DPD 阈值。

这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。

高级配置(可选)

通用 IKE ID

启用此选项可接受对等 IKE ID。

IKEv2 重新验证

配置重新身份验证频率以触发新的 IKEv2 重新身份验证。

IKEv2 重新分段

默认情况下,此选项处于启用状态。

IKEv2 重新分段大小

选择 IKEv2 消息拆分为片段之前的最大大小(以字节为单位)。

此大小适用于 IPv4 和 IPv6 消息。范围:570 到 1320 字节。

默认值为:

  • IPv4 消息 - 576 字节。

  • IPv6 消息 - 1280 字节。

NAT-T

启用此选项,以便 IPsec 流量通过 NAT 设备。

NAT-T 是一种 IKE 第 1 阶段算法,用于尝试在两个网关设备之间建立 VPN 连接,其中一个 SRX 系列防火墙前面有一个 NAT 设备。

NAT 保持活动状态

选择适当的激活间隔(以秒为单位)。范围:1 到 300。

如果预计 VPN 会有较长时间不活动状态,则可以配置激活值以生成人工流量,以使会话在 NAT 设备上保持活动状态。

IPsec 设置

协议

从列表中选择封装安全协议 (ESP) 或认证头 (AH) 协议以建立 VPN。默认值为 ESP。

加密算法

选择加密方法。默认值为 aes-256-gcm。

注意:

此选项仅适用于 ESP 协议。

身份验证算法

从列表中选择 IPsec 身份验证算法。例如,hmac-md5-96 — 生成 128 位摘要,hmac-sha1-96 — 生成 160 位摘要。

注意:

当加密算法不是 gcm 时,此选项可用。

完全向前保密

从列表中选择完全向前保密 (PFS)。设备使用此方法生成加密密钥。默认值为 group19。

PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。

注意:

group15、group16 和 group21 仅支持安装了 SPC3 卡和 Junos-IKE 软件包的 SRX5000 系列设备。

终身秒数

选择 IPsec 安全关联 (SA) 的生存期(以秒为单位)。当 SA 过期时,它将替换为新的 SA 和安全参数索引 (SPI) 或终止。默认值为 3,600 秒。范围:180 到 86,400 秒。

生命周期千字节

选择 IPsec SA 的生存期(以千字节为单位)。默认值为 128kb。范围:64 到 4294967294。

建立隧道

启用此选项可建立 IPsec 隧道。配置 VPN 并提交配置更改后,IKE 会立即激活(默认值)。

高级配置

VPN 监控器

启用此选项可在目标 IP 地址中使用它。

注意:

此选项不适用于流量选择器路由模式。

目标 IP

输入互联网控制消息协议 (ICMP) ping 的目标。默认情况下,设备使用对等方的网关地址。

注意:

此选项不适用于流量选择器路由模式。

优化

为 VPN 对象启用此选项。如果启用,SRX 系列防火墙仅在有传出流量且没有来自已配置对等方的传入流量通过 VPN 隧道时发送 ICMP 回显请求 (ping)。如果有传入流量通过 VPN 隧道,SRX 系列防火墙会认为该隧道处于活动状态,不会向对等方发送 ping。

默认情况下,此选项处于禁用状态。

注意:

此选项不适用于流量选择器路由模式。

源接口

从列表中选择 ICMP 请求的源接口。如果未指定源接口,设备将自动使用本地隧道端点接口。

注意:

此选项不适用于流量选择器路由模式。

验证路径

启用此选项可在激活安全隧道 (st0) 接口并将与该接口关联的路由安装到 Junos OS 转发表之前验证 IPsec 数据路径。

默认情况下,此选项处于禁用状态。

注意:

此选项不适用于流量选择器路由模式。

目标 IP

输入目标 IP 地址。NAT 设备后面的对等隧道端点的原始未转换 IP 地址。此 IP 地址不能是 NAT 转换的 IP 地址。如果对等隧道端点位于 NAT 设备后面,则此选项是必需的。验证路径 ICMP 请求将发送到此 IP 地址,以便对等方可以生成 ICMP 响应。

注意:

此选项不适用于流量选择器路由模式。

数据包大小

输入用于在启动 st0 接口之前验证 IPsec 数据路径的数据包大小。范围:64 到 1350 字节。默认值为 64 字节。

注意:

此选项不适用于流量选择器路由模式。

防重放

IPsec 通过使用内置于 IPsec 数据包中的数字序列来抵御 VPN 攻击,而系统不接受具有相同序列号的数据包。

默认情况下,此选项处于启用状态。防重放检查序列号并强制执行检查,而不仅仅是忽略序列号。

如果 IPsec 机制出错,导致数据包无序,从而阻止正常运行,请禁用防重放。

安装间隔

选择允许在设备上安装重新生成密钥的出站安全关联 (SA) 的最大秒数。选择一个介于 1 到 10 之间的值。

空闲时间

选择空闲时间间隔。如果未收到流量,则会话及其相应的转换会在一段时间后超时。范围为 60 到 999999 秒。

DF 位

选择设备如何处理外部标头中的不分段 (DF) 位:

  • clear — 清除(禁用)外部标头中的 DF 位。这是默认设置。

  • copy - 将 DF 位复制到外部标头。

  • set — 设置(启用)外部标头中的 DF 位。

复制外部 DSCP

默认情况下启用此选项。这样就可以将差异服务代码点 (DSCP)(外部 DSCP+ECN)从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。启用此功能后,IPsec 解密后,明文数据包可以遵循内部 CoS (DSCP+ECN) 规则。