IPsec VPN 概述
IPsec VPN 提供了一种通过公共 WAN(如互联网)与远程计算机安全通信的方法。VPN 连接可以链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点之间流动的流量通过共享资源,例如路由器、交换机和构成公共 WAN 的其他网络设备。若要保护通过 WAN 的 VPN 通信,需要创建 IPsec 隧道。
Security Director 简化了 IPsec VPN 的管理和部署。通常,在大量 SRX 系列设备上部署和全网状 VPN 部署时,VPN 配置既繁琐又重复。借助 Security Director,您可以使用 VPN 配置文件对常用设置进行分组,并将其应用于跨多个 SRX 系列设备的多个 VPN 隧道配置。您可以大规模部署站点到站点、中心辐射型和全网状 VPN。 Security Director 确定必要的部署方案,并发布所有 SRX 系列设备所需的配置。
Security Director 在 SRX 系列设备上支持基于策略和基于路由的 IPsec VPN。基于策略的 VPN 仅在配置两个端点的站点到站点部署中受支持。如果您有两台或更多 SRX 系列设备,则基于路由的 VPN 可提供更高的灵活性和可扩展性。要允许在分支机构和公司办公室之间安全地传输数据,请配置基于策略或基于路由的 IPsec VPN。对于企业级部署,请配置中心辐射型 IPsec VPN。
在以下情况下,请使用基于路由的隧道模式:
参与的网关是瞻博网络的产品。
当流量遍历 VPN 时,必须发生源或目标 NAT。
VPN 路由必须使用动态路由协议。
设置中需要主 VPN 和备用 VPN。
在以下情况下,请使用基于策略的隧道模式:
远程 VPN 网关是非瞻博网络设备。
对于特定的应用程序流量,必须限制对 VPN 的访问。
创建基于策略或基于路由的 IPsec VPN 时,将显示拓扑以供表示。您需要单击图标以配置远程网关。
Security Director 将每个逻辑系统视为任何其他安全设备,并取得逻辑系统安全配置的所有权。在 Security Director 中,每个逻辑系统都作为唯一的安全设备进行管理。
Security Director 可确保将隧道接口专门分配给设备的各个逻辑系统。不会将隧道接口分配给同一设备的多个逻辑系统。
Security Director 不支持以太网点对点协议 (PPPoE) 上的 VPN。
IPsec VPN 拓扑结构
支持以下 IPsec VPN:
站点到站点 VPN — 将组织中的两个站点连接在一起,并允许站点之间的安全通信。
中心辐射型(建立所有对等方)— 在企业网络中将分支机构连接到公司办公室。您还可以使用此拓扑通过中枢发送流量,从而将分支连接在一起。
中心辐射型(按分支建立)— Auto-VPN 支持作为通往远程站点(分支)的多个隧道的单个端点的 IPsec VPN 聚合器(中心)。Auto-VPN 允许网络管理员为当前和未来的分支配置中心。添加或删除分支设备时,无需在中心更改配置,从而使管理员可以灵活地管理大规模网络部署。
中心辐射型 (自动发现 VPN) — 自动发现 VPN (ADVPN) 是一种技术,允许中央集线器动态通知分支两个分支之间的流量更好路径。当两个分支都确认来自中枢的信息时,它们会建立捷径隧道并更改路由拓扑,以便主机到达另一端,而无需通过中枢发送流量。
全网状— — 连接两个或更多参与网关,并与组中的所有其他设备建立单独的隧道。
远程访问 VPN(瞻博网络安全连接)— 瞻博网络安全连接为用户提供安全的远程访问,以使用互联网远程连接到公司网络和资源。瞻博网络安全连接从 SRX 服务设备下载配置,并在建立连接期间选择最有效的传输协议。
远程访问 VPN(NCP 专用客户端)— 远程访问 VPN 允许在家工作或旅行的用户连接到公司办公室及其资源。网络控制协议 (NCP) 专用远程访问客户端是适用于瞻博网络 SRX 系列网关的 NCP 专用远程访问解决方案的一部分。VPN 客户端仅适用于 NCP 独家远程访问管理。与 SRX 系列网关连接时,使用 NCP 专用客户端从任何位置建立基于 IPsec 的安全数据链路。