Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 概述

IPsec VPN 提供了一种通过公共 WAN(如互联网)与远程计算机安全通信的方法。一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。要保护通过 WAN 的 VPN 通信,您需要创建一个 IPsec 隧道。

Security Director 简化了 IPsec VPN 的管理和部署。通常,在大量 SRX 系列设备上进行部署以及全网状 VPN 部署时,VPN 配置既繁琐又重复。借助 Security Director,您可以使用 VPN 配置文件对常用设置进行分组,并将其应用于跨多个 SRX 系列设备的多个 VPN 隧道配置。您可以大规模部署站点到站点、中心辐射型和全网状 VPN。 Security Director 确定必要的部署方案,并为所有 SRX 系列设备发布所需的配置。

Security Director 支持在 SRX 系列设备上使用基于策略和基于路由的 IPsec VPN。基于策略的 VPN 仅在站点到站点部署中受支持,其中您配置了两个端点。如果您有两个或更多 SRX 系列设备,则基于路由的 VPN 可提供更高的灵活性和可扩展性。要允许在分支办事处和企业办公室之间安全地传输数据,请配置基于策略或基于路由的 IPsec VPN。对于企业级部署,请配置中心辐射型 IPsec VPN。

如果出现以下情况,请使用基于路由的隧道模式:

  • 参与网关是瞻博网络产品。

  • 当流量通过 VPN 时,必须发生源或目标 NAT。

  • VPN 路由必须使用动态路由协议。

  • 设置中需要主 VPN 和备用 VPN。

如果出现以下情况,请使用基于策略的隧道模式:

  • 远程 VPN 网关是非瞻博网络设备。

  • 必须针对特定的应用流量限制对 VPN 的访问。

创建基于策略或基于路由的 IPsec VPN 时,将显示拓扑以供表示。您需要单击图标来配置远程网关。

注意:

  • Security Director 将每个逻辑系统视为任何其他安全设备,并获取逻辑系统安全配置的所有权。在 Security Director 中,每个逻辑系统都作为唯一的安全设备进行管理。

  • Security Director 确保隧道接口以独占方式分配给设备的各个逻辑系统。任何隧道接口都不会分配给同一设备的多个逻辑系统。

  • Security Director 不支持通过以太网点对点协议 (PPPoE) 进行 VPN。

IPsec VPN 拓扑结构

支持以下 IPsec VPN:

  • 站点到站点 VPN — 将组织中的两个站点连接在一起,并允许在站点之间进行安全通信。

    Network diagram with two devices labeled Device connected to a central cloud, symbolizing data flow between devices and the cloud.

  • 中心辐射型(建立所有对等方)— 将分支机构办公室连接到企业网络中的企业办公室。您还可以使用此拓扑结构通过中枢站点发送流量,从而将分支站点连接在一起。

    Hub-and-spoke network topology with a central hub connected to multiple spokes through a network infrastructure.

  • 中心辐射型(通过分支建立)— Auto-VPN 支持 IPsec VPN 聚合器(中心),该聚合器充当到远程站点(分支)的多个隧道的单个端点。自动 VPN 允许网络管理员为当前和未来的分支配置集线器。添加或删除分支设备时,无需在集线器上更改配置,因此管理员可以灵活地管理大规模网络部署。

    Hub-and-spoke network topology with a central hub connected to multiple spokes through a network infrastructure.

  • 中心辐射型网络(自动发现 VPN)—自动发现 VPN (ADVPN) 是一种技术,该技术允许中央中枢动态通知分支两个分支之间流量的更好路径。当两个分支都确认来自中枢的信息时,它们会建立一个快捷方式隧道,并更改主机到达另一端的路由拓扑,而无需通过中枢发送流量。

    Hub-and-Spoke network topology with a central Hub connected to multiple Spoke nodes via a cloud representing the internet.

  • 全网状 — 连接两个或多个参与网关,并与组中的每台其他设备建立单独的隧道。

    Network diagram with six interconnected nodes, each as a brick-patterned square, showing a fully connected secure system.

  • 远程访问 VPN(瞻博网络安全连接)— 瞻博网络安全连接为用户提供安全的远程访问,以使用互联网远程连接到公司网络和资源。瞻博网络安全连接从 SRX 服务设备下载配置,并在建立连接期间选择最有效的传输协议。

    Remote user connects to local gateway via cloud network showing remote access or VPN connection.

  • 远程访问 VPN(NCP 专用客户端)— 远程访问 VPN 允许在家工作或正在旅行的用户连接到公司办公室及其资源。网络控制协议 (NCP) 专用远程访问客户端是适用于瞻博网络 SRX 系列网关的 NCP 专用远程访问解决方案的一部分。VPN 客户端仅适用于 NCP 专用远程访问管理。与 SRX 系列网关连接时,可使用 NCP 专用客户端从任何位置建立基于 IPsec 的安全数据链路。

    Remote user connects to local gateway through cloud, illustrating remote access setup via internet or cloud service.

相关主题