创建站点到站点 VPN

您现在的位置：网络 > VPN > IPsec VPN。

要创建站点到站点 VPN，请执行以下作：

单击创建 VPN 并选择 IPsec VPN 页面右上角的站点到站点。

此时将显示“创建站点到站点 VPN”页面。
根据表 1 至表 6 中提供的准则完成配置。

VPN 连接将在拓扑中从灰色变为蓝线，以表明配置已完成。
单击保存以保存更改。

如果要放弃更改，请单击取消。

表 1：“创建 IPsec VPN”页面上的字段
字段	行动
姓名	输入 VPN 的名称。
描述	输入描述。此说明将用于 IKE 和 IPsec 提议和策略。在编辑过程中，将显示并更新 IPsec 策略说明。
路由模式	选择将此 VPN 关联到的路由模式：流量选择器（自动路由插入）静态路由动态路由 – OSPF 动态路由 – BGP 对于每个拓扑，J-Web 会自动生成相关的 CLI。流量选择器是默认模式。
身份验证方法	从列表中选择设备用于验证互联网密钥交换（IKE）消息来源的身份验证方法：基于证书 — 数字签名类型，即确认证书持有者身份的证书。以下是基于以下证书的身份验证方法： rsa-signatures — 指定使用支持加密和数字签名的公钥算法。 dsa-signatures — 指定使用数字签名算法（DSA）。 ecdsa-signatures-256 - 指定使用联邦信息处理标准（FIPS）数字签名标准（DSS） 186-3 中指定的使用 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA （ECDSA）。 ecdsa-signatures-384 — 指定使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。 ecdsa-signatures-521 — 指定使用使用 521 位椭圆曲线 secp521r1 的 ECDSA。注意： ecdsa-signatures-521 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。预共享密钥（默认方法） — 指定在身份验证期间使用预共享密钥（即两个对等方之间共享的密钥）来相互识别对等方。必须为每个对等方配置相同的密钥。这是默认方法。
自动创建防火墙策略	如果选择是，则在内部区域和隧道接口区域之间自动设置防火墙策略，其中本地受保护网络为源地址，远程受保护网络为目标地址。反之亦然，将创建另一个防火墙策略。如果选择否，则没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。注意：如果您不想在 VPN 工作流中自动创建防火墙策略，则在本地和远程网关中都会隐藏受保护的网络以进行动态路由。
远程网关	在拓扑中显示远程网关图标。单击该图标以配置远程网关。网关识别具有 IPsec VPN 对等方的远程对等方，并为该 IPsec VPN 定义相应的参数。有关字段信息，请参阅表 2。
本地网关	在拓扑中显示本地网关图标。单击图标以配置本地网关。有关字段信息，请参阅表 4。
IKE 和 IPsec 设置	使用建议的算法或值配置自定义 IKE 或 IPsec 提议和自定义 IPsec 提议。有关字段信息，请参阅表 6。注意： J-Web 仅支持一个自定义 IKE 提议，不支持预定义的提议集。编辑并保存后，J-Web 会删除预定义的提议集（如果已配置）。在 VPN 隧道的远程网关上，您必须配置相同的自定义提议和策略。编辑后，当配置了多个自定义提议时，J-Web 会显示第一个自定义 IKE 和 IPsec 提议。

表 2：“远程网关”页面上的字段
字段	行动
网关支持 NAT	如果启用，则配置的外部 IP 地址（IPv4 或 IPv6）称为 NAT 设备 IP 地址。
IKE 身份	从列表中选择一个选项以配置远程身份。
主机名	输入远程主机名。
IPv4 地址	输入远程 IPv4 地址。
IPv6 地址	输入远程 IPv6 地址。
密钥 ID	输入密钥 ID。
电子邮件地址	输入电子邮件地址。
外部 IP 地址	输入对等方 IPv4 或 IPv6 地址。您可以创建一个包含最多四个备份的主对等网络。您必须输入一个 IPv4 或 IPv6 地址，也最多可以输入五个用逗号分隔的 IP 地址。
受保护的网络	选择路由模式时，会列出所有全局地址。从“可用”列中选择地址，然后单击向右箭头将其移动到“所选”列。当路由模式为以下条件时：流量选择器 — IP 地址将在流量选择器配置中用作远程 IP。静态路由：将为选定的全局地址配置静态路由。本地网关的隧道接口（st0.x）将用作下一跃点。动态路由 - 默认值为任意。您还可以选择特定的全局地址。选定值在防火墙策略中配置为目标地址。
添加	单击 +。此时将显示“创建全局地址”页面。有关字段信息，请参阅表 3 。

表 3：“创建全局地址”页面上的字段
字段	行动
子网	输入 IPv4 或 IPv6 地址的子网。
标识符	输入全局地址的名称。

表 4：“本地网关”页面上的字段
字段	行动
网关支持 NAT	当本地网关位于 NAT 设备后面时启用此选项。
IKE 身份	从列表中选择一个选项以配置本地身份。启用网关在 NAT 后面时，您可以配置 IPv4 或 IPv6 地址来引用 NAT 设备。
主机名	输入主机名。注意：仅当禁用 Gateway is behind NAT 时，此选项才可用。
IPv4 地址	输入 IPv4 地址。
IPv6 地址	输入 IPv6 地址。
密钥 ID	输入密钥 ID。注意：仅当禁用 Gateway is behind NAT 时，此选项才可用。
电子邮件地址	输入电子邮件地址。注意：仅当禁用 Gateway is behind NAT 时，此选项才可用。
外部接口	从列表中选择用于 IKE 协商的传出接口。如果指定接口配置了多个 IP 地址，则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。
隧道接口	从列表中选择一个接口以将其绑定到隧道接口（基于路由的 VPN）。单击 “添加” 以添加新接口。此时将显示 Create Tunnel Interface 页面。见表 5.
路由器 ID	输入路由设备的 IP 地址。注意：如果路由模式为动态路由 - OSPF 或 BGP，则此选项可用。
地区 ID	输入 0 到 4,294,967,295 范围内的区域 ID，其中需要配置此 VPN 的隧道接口。注意：如果路由模式为动态路由 - OSPF，则此选项可用。
通道接口被动	启用此选项可绕过常规活动 IP 检查的流量。注意：如果路由模式为动态路由 - OSPF，则此选项可用。
ASN	输入路由设备的 AS 编号。使用 NIC 分配给您的号码。范围：对于 4 字节 AS 编号，范围为 1 到 4,294,967,295 （232 – 1）。注意：如果路由模式为动态路由 - BGP，则此选项可用。
邻接方 ID	输入相邻路由器的 IP 地址。注意：如果路由模式为动态路由 - BGP，则此选项可用。
BGP 组类型	从列表中选择 BGP 对等体组的类型：外部 — 外部组，允许 AS 间 BGP 路由。 internal — 内部组，允许 AS 内部 BGP 路由。注意：如果路由模式为动态路由 - BGP，则此选项可用。
对等方 ASN	输入邻接方（对等方）自治系统（AS）编号。注意：如果选择外部作为 BGP 组类型，则此选项可用。
导入策略	从列表中选择一个或多个路由策略，以从 BGP 导入到路由表中的路由。单击 “全部清除” 以清除选定的策略。注意：如果路由模式为动态路由 - BGP，则此选项可用。
出口政策	从列表中选择一个或多个策略，以从路由表导出到 BGP 的路由。单击 “全部清除” 以清除选定的策略。注意：如果路由模式为动态路由 - BGP，则此选项可用。
本地证书	当本地设备加载了多个证书时，选择本地证书标识符。注意：如果身份验证方法是基于证书的，则此选项可用。单击 “添加” 以生成新证书。单击 “导入” 以导入设备证书。有关详细信息，请参阅管理设备证书。
可信证书颁发机构/集团	从列表中选择证书颁发机构（证书颁发机构）配置文件，以将其与本地证书相关联。注意：如果身份验证方法是基于证书的，则此选项可用。单击“ 添加 ”以添加新的证书颁发机构配置文件。有关详细信息，请参阅管理受信任的证书颁发机构。
预共享密钥	输入预共享密钥的值。密钥可以是以下类型之一： ascii-text — ASCII 文本密钥。十六进制 — 十六进制键。注意：如果身份验证方法是预共享密钥，则此选项可用。
受保护的网络	单击 +。此时将显示“创建受保护网络”页面。
创建受保护的网络
区域	从列表中选择将用作防火墙策略中源区域的安全区域。
全局地址	从“可用”列中选择地址，然后单击向右箭头将其移动到“所选”列。
添加	单击添加。此时将显示“创建全局地址”页面。见表 3.
编辑	选择要编辑的受保护网络，然后单击铅笔图标。此时将显示“编辑全局地址”页面，其中包含可编辑字段。
删除	选择要编辑的受保护网络，然后单击删除图标。将弹出确认消息。单击 “是 ”进行删除。

表 5：“创建隧道接口”页面上的字段
字段	行动
接口单元	输入逻辑单元编号。
描述	输入逻辑接口的说明。
区域	从列表中选择逻辑接口的区域，以便在防火墙策略中用作源区域。单击 “添加” 以添加新区域。输入区域名称和描述，然后在“创建安全性区域”页面上单击 “确定 ”。
路由实例	从列表中选择一个布线实例。
IPv4 注意：仅当您选择路由模式为动态路由 - OSPF 或 BGP 时，此选项才可用。
IPv4 地址	输入有效的 IPv4 地址。
子网前缀	输入 IPv4 地址的子网掩码。
IPv6 注意：仅当您选择路由模式为动态路由 - OSPF 或 BGP 时，此选项才可用。
IPv6 地址	输入有效的 IPv6 地址。
子网前缀	输入网络范围的子网掩码。输入后，将验证该值。

表 6：IKE 和 IPsec 设置
字段	行动
IKE 设置
IKE 版本	选择所需的 IKE 版本（v1 或 v2）来协商 IPsec 的动态安全关联（SA）。默认值为 v2。
IKE 模式	从列表中选择 IKE 策略模式：积极 — 采用主模式消息数的一半，协商能力较小，并且不提供身份保护。 main — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。还提供身份保护。
加密算法	从列表中选择相应的加密机制。默认值为 aes-256-gcm。
身份验证算法	从列表中选择身份验证算法。例如，hmac-md5-96 — 生成 128 位摘要，hmac-sha1-96 — 生成 160 位摘要。注意：当加密算法不是 gcm 时，此选项可用。注意：从 Junos OS 23.4R1 版本开始，J-Web 可对已安装 junos-ike 软件包的设备使用 SHA 512 位身份验证算法。
DH 组	Diffie-hellman （DH）交换允许参与方生成一个共享的密钥值。从列表中选择相应的 DH 组。默认值为 group19。注意：从 Junos OS 23.4R1 版本开始，J-Web 可支持已安装 junos-ike 软件包的设备使用第 15 组、第 16 组和第 21 组 DH 组。
生存秒数	选择 IKE 安全关联（SA）的生存期。默认值：28,800 秒。范围：180 到 86,400 秒。
失效对等体检测	启用此选项可发送失效对等方检测请求，而不管对等方是否有传出 IPsec 流量。
DPD 模式	从列表中选择其中一个选项：优化 — 仅当有传出流量且没有传入数据流量时才发送探测 - RFC3706（默认模式）。 probe-idle-隧道 — 发送探测，与优化模式下相同，并且在没有传出和传入数据流量时也是如此。 always-send — 定期发送探测，而不考虑传入和传出数据流量。
DPD 间隔	选择发送失效对等方检测消息的间隔（以秒为单位）。默认间隔为 10 秒。范围为 2 到 60 秒。
DPD 阈值	选择一个从 1 到 5 的数字以设置故障 DPD 阈值。这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。
高级配置（可选）
通用 IKE ID	启用此选项以接受对等方 IKE ID。
IKEv2 重新身份验证	配置重新身份验证频率以触发新的 IKEv2 重新身份验证。
IKEv2 重新分段	默认情况下，此选项处于启用状态。
IKEv2 重新分片大小	在将 IKEv2 消息拆分为片段之前，选择 IKEv2 消息的最大大小（以字节为单位）。此大小适用于 IPv4 和 IPv6 消息。范围：570 到 1320 字节。默认值为： IPv4 消息 — 576 字节。 IPv6 消息 — 1280 字节。
NAT-T	启用此选项，使 IPsec 流量通过 NAT 设备。 NAT-T 是一种 IKE 第 1 阶段算法，尝试在两个网关设备之间建立 VPN 连接时使用，其中一台 SRX 系列防火墙前面有一台 NAT 设备。
NAT 保持活动	选择适当的激活间隔（以秒为单位）。范围：1 到 300。如果预计 VPN 会有很长一段时间不活动，您可以配置激活值来生成人工流量，以使会话在 NAT 设备上保持活动状态。
IPsec 设置
协议	从列表中选择封装安全性协议（ESP）或认证头（AH）协议以建立 VPN。默认值为 ESP。
加密算法	选择加密方法。默认值为 aes-256-gcm。注意：此选项仅适用于 ESP 协议。
身份验证算法	从列表中选择 IPsec 身份验证算法。例如，hmac-md5-96 — 生成 128 位摘要，hmac-sha1-96 — 生成 160 位摘要。注意：当加密算法不是 gcm 时，此选项可用。注意：从 Junos OS 23.4R1 版本开始，J-Web 支持 HMAC-SHA 384 和 HMAC-SHA 512 身份验证算法，适用于已安装 junos-ike 软件包的设备。
完全向前保密	从列表中选择“完全向前保密（PFS）”。设备使用此方法生成加密密钥。默认值为 group19。 PFS 独立于之前的密钥生成每个新的加密密钥。编号越高的组提供更高的安全性，但需要更多的处理时间。注意： group15、group16 和 group21 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。注意：从 Junos OS 23.4R1 版本开始，J-Web 支持已安装 junos-ike 软件包的设备使用组 15、组 16 和组 21 PFS。
生存秒数	选择 IPsec 安全关联（SA）的生存期（以秒为单位）。当 SA 到期时，它将被新的 SA 和安全参数索引（SPI）取代或终止。默认值为 3,600 秒。范围：180 到 86,400 秒。
终身千字节	选择 IPsec SA 的生存期（以千字节为单位）。默认值为 128kb。范围：64 到 4294967294。
建立隧道	启用此选项以建立 IPsec 隧道。配置 VPN 并提交配置更改后，IKE 将立即激活（默认值）。
高级配置
VPN 监控器	启用此选项可在目标 IP 地址中使用它。注意：此选项不可用于流量选择器路由模式。
目标 IP	输入互联网控制消息协议（ICMP） ping 的目标。默认情况下，设备使用对等方的网关地址。注意：此选项不可用于流量选择器路由模式。
优化	为 VPN 对象启用此选项。如果启用，SRX 系列防火墙仅在有传出流量且配置的对等方没有通过 VPN 隧道传入流量时发送 ICMP 回显请求（ping）。如果有传入流量通过 VPN 隧道，SRX 系列防火墙会将该隧道视为活动状态，并且不会向对等方发送 ping。默认情况下，此选项处于禁用状态。注意：此选项不可用于流量选择器路由模式。
源接口	从列表中选择 ICMP 请求的源接口。如果未指定源接口，设备将自动使用本地隧道端点接口。注意：此选项不可用于流量选择器路由模式。
验证路径	启用此选项可在激活安全隧道（st0）接口并将与该接口关联的路由安装到 Junos OS 转发表中之前验证 IPsec 数据路径。默认情况下，此选项处于禁用状态。注意：此选项不可用于流量选择器路由模式。
目标 IP	输入目标 IP 地址。NAT 设备后面的对等隧道端点的原始、未转换的 IP 地址。此 IP 地址不得是 NAT 转换后的 IP 地址。如果对等隧道端点位于 NAT 设备后面，则需要使用此选项。验证路径 ICMP 请求将发送到此 IP 地址，以便对等方可以生成 ICMP 响应。注意：此选项不可用于流量选择器路由模式。
数据包大小	输入在启用 st0 接口之前用于验证 IPsec 数据路径的数据包大小。范围：64 到 1350 字节。默认值为 64 字节。注意：此选项不可用于流量选择器路由模式。
防重放	IPsec 通过使用 IPsec 数据包中内置的数字序列来防御 VPN 攻击——系统不接受具有相同序列号的数据包。默认情况下，此选项处于启用状态。防重放会检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制存在错误，导致数据包无序，从而无法正常运行，则禁用防重放。
安装间隔	选择允许在设备上安装重新密钥的出站安全关联（SA）的最大秒数。选择一个从 1 到 10 的值。
空闲时间	选择空闲时间间隔。如果未收到任何流量，会话及其相应的转换将在一段时间后超时。范围为 60 到 999999 秒。
DF 位	选择设备如何处理外部报头中的不分段（DF）位： clear — 清除（禁用）外部报头中的 DF 位。这是默认设置。 copy — 将 DF 位复制到外部报头。 set—设置（启用）外部报头中的 DF 位。
复制外部 DSCP	默认启用此选项。这样可以将差异服务代码点（DSCP）（外部 DSCP+ECN）从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。启用此功能后，在 IPsec 解密后，明文数据包可以遵循内部 CoS （DSCP+ECN）规则。
ICMP 大数据包警告	使用此选项可启用或禁用发送 IPv6 数据包的 ICMP 数据包过大通知。注意：此选项仅适用于已安装 junos-ike 软件包的设备。
ESN	启用此选项以允许 IPsec 使用 64 位序列号。如果未启用 ESN，则默认使用 32 位序列号。禁用防重放时，确保未启用 ESN。注意：此选项仅适用于已安装 junos-ike 软件包的设备。
隧道 MTU	输入 IPsec 隧道的最大传输数据包大小。范围：256 到 9192。注意：此选项仅适用于已安装 junos-ike 软件包的设备。

创建站点到站点 VPN

相关文档