创建 VPN 配置文件

开始之前

查看 VPN 配置文件主页，了解您当前的数据集。有关字段说明，请参阅 VPN 配置文件主页字段。

使用“VPN 配置文件”页面可以配置 VPN 配置文件，以便在建立 VPN 连接时定义安全参数。您可以重复使用同一配置文件来创建更多 VPN 隧道。创建 VPN 配置文件后，Junos Space 会在 Security Director 数据库中创建一个对象来表示该 VPN 配置文件。您可以使用此对象创建基于路由或基于策略的 IPsec VPN。

注意：

您无法修改或删除瞻博网络预定义的 VPN 配置文件。您只能克隆它们并创建新的配置文件。

从 Junos Space Security Director 20.3 版开始，您可以基于 VPN 拓扑创建 VPN 配置文件。您可以创建：

站点到站点 VPN 配置文件
中心辐射型（建立所有对等方）VPN 配置文件
中心辐射型（按辐射建立）VPN 配置文件
中心辐射型自动发现 VPN 配置文件
全网状 VPN 配置文件
远程访问（瞻博网络安全连接）配置文件
远程访问（NCP 专用客户端）配置文件

要配置 VPN 配置文件：

选择配置> IPsec VPN >配置文件。

此时将显示“VPN 配置文件”页面。
单击创建 VPN 配置文件，然后选择要基于其创建 VPN 配置文件的 VPN 拓扑。

将显示相应的创建 VPN 配置文件页面。
根据表 1 中提供的指南完成配置。
单击保存。

将创建新的 VPN 配置文件。可以使用此对象创建 IPsec VPN。

表 1：VPN 配置文件设置
设置	指引
名字	输入唯一的字母数字字符、破折号和下划线字符串;不允许有空格;最多 62 个字符。
描述	输入 VPN 配置文件的说明;最大长度为 255 个字符。
IKE 设置
身份验证方法	选择所需的身份验证方法：基于预共享 RSA 签名 DSA 签名 ECDSA-签名-256 ECDSA 签名-384 注意：对于远程 VPN，仅支持基于预共享的签名和 RSA 签名。
IKE 版本	选择用于协商 IPsec 动态安全关联（SA）的所需 IKE 版本（V1 或 V2）。默认情况下，使用 IKE V2。注意：这不适用于远程访问 VPN 配置文件。
模式	选择 IKE 策略模式。主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。还提供身份保护。主动 - 占用主模式一半的消息数，协商能力较低，并且不提供身份保护。注意：当 IKE 版本为 V1 时，模式适用。模式不适用于远程访问 VPN 配置文件。
失效对等体检测	启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测（DPD）消息。
DPD 模式	选择 DPD 模式。优化：在设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。探测空闲隧道：如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。始终发送：无论对等方之间的流量活动如何，都会按配置的时间间隔发送 R-U-THERE 消息。
DPD 间隔	选择发送失效对等方检测消息的间隔（以秒为单位）。默认间隔为 10 秒，允许范围为 2 到 60 秒。
DPD 阈值	选择故障 DPD 阈值。这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，允许范围为 1 到 5。
自定义提案
名字	输入 VPN 的名称。
Deffie Hellman 集团	选择一个组。Diffie-Hellman （DH）组确定密钥交换过程中使用的密钥的强度。
身份验证算法	选择一种算法。设备使用这些算法来验证数据包的真实性和完整性。
加密算法	选择适当的加密机制。
生存期秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180 到 86,400 秒。注意：您最多可以创建四个自定义配置文件，并编辑或删除现有的自定义配置文件。
高级配置
通用 IKE ID	启用此选项可接受对等 IKE ID。默认情况下，此选项处于禁用状态。如果启用了常规 IKE ID，则会自动禁用 IKE ID 选项。注意：这不适用于远程访问 VPN 配置文件。
IKEv2 重新身份验证	选择重新验证频率。通过将重新身份验证频率设置为 0，可以禁用重新身份验证。范围为 0 到 100。注意：这不适用于远程访问 VPN 配置文件。
IKEv2 重新分段支持	IKEv2 分段将大型 IKEv2 消息拆分为一组较小的消息，以便在 IP 级别不存在分段。这适用于身份验证方法是 RSA 签名的情况。
IKE ID	选择一个选项：没有可分辨名称主机名 IPv4 地址电子邮件地址 IKE ID 仅在禁用常规 IKE ID 时适用。注意：只有电子邮件 ID 适用于远程访问 VPN 配置文件。
NAT-T	如果动态端点位于 NAT 设备后面，请启用网络地址转换遍历（NAT-T）。
保持活力	选择一个值。在 VPN 对等方之间的连接期间，需要 NAT 激活来维护 NAT 转换。范围为 1 到 300 秒。
IPsec 设置
完全向前保密	选择“完全向前保密（PFS）”作为设备用于生成加密密钥的方法。PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性，但需要更多的处理时间。
建立隧道	选择一个选项以指定何时激活 IKE。立即 — 提交 VPN 配置更改后立即激活 IKE。开机流量 — IKE 仅在数据流量流动时激活，并且必须与对等网关协商。这是默认行为。注意：这不适用于远程访问 VPN 配置文件。
自定义提案
名字	输入 VPN 的名称。
身份验证算法	选择一种算法。设备使用这些算法来验证数据包的真实性和完整性。
协议	选择建立 VPN 所需的协议。 ESP — 封装安全有效负载（ESP）协议同时提供加密和身份验证。 AH — 认证头（AH）协议提供数据完整性和数据身份验证。注意：这不适用于远程访问 VPN 配置文件。
加密算法	选择必要的加密方法。如果协议是 ESP，则这适用。
终身秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180 到 86,400 秒。
生命周期千字节	选择 IPsec 安全关联（SA）的生存期（以千字节为单位）。范围为 64 到 4294967294 KB。注意：您最多可以创建四个自定义配置文件，并编辑或删除现有的自定义配置文件。
高级配置
VPN 监控器	启用此选项可发送互联网控制消息协议（ICMP）以确定 VPN 是否已启动。
防重放	默认情况下，防重放检测处于启用状态。IPsec 通过使用内置于 IPsec 数据包中的一系列数字来抵御 VPN 攻击 — 系统不接受已看到相同序列号的数据包。它检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制出错，导致数据包无序，从而阻止正常运行，请禁用它。
安装间隔	选择允许在设备上安装重新生成密钥的出站安全关联（SA）的最大秒数。
空闲时间	选择适当的空闲时间间隔。如果未收到流量，会话及其相应的转换通常会在一段时间后超时。
DF 位	选择一个选项以处理 IP 消息中的不分段（DF）位。清除 — 禁用 IP 消息中的 DF 位。这是默认设置。复制 — 将 DF 位复制到 IP 消息。设置 — 启用 IP 消息中的 DF 位。
复制外部 DSCP	启用将差异服务代码点（DSCP）字段从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。启用此功能的好处是，在 IPsec 解密之后，明文数据包可以遵循内部服务等级（CoS）规则。

创建 VPN 配置文件

相关文档