Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:在分支机构中配置单个 SRX 系列设备

此示例提供了在分支机构的单个 SRX 系列设备上进行配置的分步过程和验证机箱群集的命令。

要求

此示例使用以下硬件和软件组件:

  • SRX240 服务网关

  • Junos OS 12.1 或更高版本

注意:

此配置示例已使用列出的软件版本进行了测试,并假定适用于所有更高版本。

概述

要实施链路级高可用性部署,每个分支机构都需要为每个数据中心提供两个 WAN 连接和两个 IPsec 虚拟专用网络 (VPN) 隧道。流量在每对隧道之间进行负载平衡。每当流量定向到给定数据中心时,会话都会以轮询方式通过通向该数据中心的每个 IPsec 隧道进行负载平衡。反过来,隧道的配置方式是,每个隧道使用不同的出口链路,从而平衡 VPN 流量的上游链路。

拓扑

图 1 显示了连接到数据中心的链路级冗余配置。请注意,即使可能使用多个数据中心,从分支机构高可用性的角度来看,配置也是相同的。仅 IPsec 隧道配置及其路由设置发生更改。为简单起见,仅显示其中一个数据中心的 IPsec 配置。显示了在 SRX 系列设备上设置冗余 IPsec VPN 隧道的示例配置。

图 1:链路级冗余 WAN 连接架构 Link-Level Redundant WAN Connectivity Architecture

图 2 显示了区域配置。VPN 隧道是名为 VPN 区域的单独区域的一部分。此外,在设计安全策略时,VPN 隧道必须形成为单独区域的一部分,因为进入数据中心(或其他分支机构)的流量通过此区域退出。

图 2:SRX 系列设备上 Security Zones On An SRX Series Device的安全区域

配置

在 SRX 系列设备上配置冗余 IPsec VPN 隧道

分步过程

要配置冗余 IPsec VPN 隧道,请执行以下操作:

  1. 指定全局 VPN 设置。

  2. 为主模式、预定义标准提议集和预共享密钥配置 IKE 策略。

  3. 使用 对等方 IP 地址、IKE 策略和传出接口配置 IKE 网关。

  4. 配置 IPsec 策略和隧道接口绑定 st0.0

    在此示例中,请使用标准提议集。但是,您可以创建唯一的提议,然后根据需要在 IPsec 策略中指定该建议。

  5. 配置隧道接口的绑定 st0.1

  6. 同时配置和st0.0st0.1接口多点。

  7. 为两个隧道接口配置静态路由。

  8. 配置管理区域。

  9. 配置信任区域。

  10. 配置不信任区域。

  11. 通过分配接口和主机入站服务来配置安全区域。

结果

在操作模式下,输入 show configuration | no-more 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

user@host>show configuration | no-more

验证

确认配置工作正常。

验证隧道接口

目的

验证隧道接口配置是否正常工作。

行动

在操作模式下,输入 show interfaces terse | match st 命令。

user@host>show interfaces terse | match st

意义

show interfaces terse | match st 命令将显示隧道接口的状态。

验证 IKE 状态

目的

验证 IKE 状态。

行动

在操作模式下,输入 show security ike sa 命令。

user@host>show security ike sa

意义

show security ike sa 命令会列出所有活动的 IKE 第 1 阶段 SA。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。

如果列出了 SA,请查看以下信息:

  • 索引 - 此值对于每个 IKE SA 都是唯一的,您可以在命令中 show security ike security-associations index detail 使用它来获取有关 SA 的更多信息。

  • 远程地址 - 验证远程 IP 地址是否正确。

  • 状态

    • UP—已建立第 1 阶段 SA。

    • DOWN — 建立第 1 阶段 SA 时出现问题。

  • 模式 - 验证是否使用了正确的模式。

验证 IPsec 安全关联

目的

验证 IPsec 安全关联。

行动

在操作模式下,输入 show security ipsec sa 命令。

user@host>show security ipsec sa

意义

输出指示:

  • 有一个已配置的 IPsec SA 对可用。端口号 500 表示使用的是标准 IKE 端口。否则,它是网络地址转换遍历 (NAT-T)、4500 或随机高端口。

  • 安全参数索引 (SPI) 用于两个方向。SA 的生存期或使用限制以秒或千字节表示。在输出中,2492/unlim 表示第 2 阶段生存期设置为在 2492 秒后过期,并且没有指定的生存期大小。

  • ID 号显示每个 IPsec SA 的唯一索引值。

验证路由条目

目的

验证路由表中的路由条目。

行动

在操作模式下,输入 show route 命令。

user@host>show route

意义

输出指示有 19 个路由,并且所有路由都处于活动状态。

相关文档