创建和管理基于路由的站点到站点 VPN |SD 云 |瞻博网络

创建基于路由的站点到站点 VPN

基于路由的站点到站点 VPN 是一种利用 IP 路由通过两个站点之间的 IPsec VPN 隧道引导流量的配置。在此设置中，VPN 隧道被视为虚拟网络接口，路由决策将根据目标 IP 地址确定通过隧道发送哪些流量。

使用基于路由的 VPN，您可以配置许多安全策略来管理通过单个 VPN 隧道的流量。在此设置中，只有一组 IKE 和 IPsec SA 运行。与基于策略的 VPN 不同，对于基于路由的 VPN，策略指的是目标地址，而非 VPN 隧道。

开始之前

阅读 IPSec VPN 概述并查看字段说明，以了解您当前的数据集。请参阅 IPsec VPN 概述。
创建地址和地址集。请参阅创建和管理地址或地址组。
创建 VPN 配置文件。请参阅创建和管理 VPN 配置文件。
定义外部网设备。请参阅创建外部网设备。

要创建基于路由的站点到站点 VPN：

选择安全性> IPsec VPN 管理> IPsec VPN。

此时将显示 IPsec VPN 页面。
单击创建>站点到站点。

此时将显示“创建站点到站点 VPN”页面。
请根据以下准则完成 VPN 配置：
- 表 1 - 常规设置
- 表 2 - 设备设置
- 表 3 — VPN 配置文件设置
- 表 4 — 隧道设置
VPN 连接在拓扑中从灰色变为蓝线，表示配置已完成。显示的拓扑仅用于表示。
点击保存。

此时将显示 IPsec VPN 页面。
选择 VPN 策略，然后单击部署。
此时将显示“部署 VPN”页面。
选择以下一项：
- 请稍后安排，以便稍后安排和发布配置。
- 立即运行以立即应用配置。
单击更新。
“受影响的设备”页面显示将发布策略的设备。

常规设置

表 1：常规设置
字段	行动
姓名	输入一个最多 63 个字母数字字符的唯一字符串，不含空格。字符串可以包含冒号、句点、破折号和下划线。
描述	输入最多包含 255 个字符的 VPN 描述。
路由拓扑	选择以下选项之一：流量选择器（自动路由插入） — 流量选择器是 IKE 对等方之间的协议，如果流量与指定的本地和远程地址对匹配，则允许流量通过隧道。静态路由 — 基于受保护的网络生成静态路由。 OSPF 动态路由 — 根据隧道接口地址配置生成 IPv4 的 OSPFv2 配置或 IPv6 的 OSPFv3 配置。 RIP 动态路由 — 根据隧道接口地址配置生成 IPv4 的 RIP 配置或 IPv6 的 RIPng 配置。 eBGP 动态路由 — 为 IPv4 和 IPv6 生成 eBGP 配置。路由拓扑仅适用于基于路由的 VPN。有关这些路由拓扑的隧道设置的信息，请参阅表 4。
VPN 配置文件	根据部署方案选择 VPN 配置文件：内联配置文件 — 仅适用于特定的 IPsec VPN。主模式配置文件 — 设置了标准提议的预定义主模式配置文件。 AggressiveMode Profile — 预定义的积极模式配置文件，设置了标准提议。 RSA 配置文件 — 用于基于证书的身份验证（RSA 签名）的预定义配置文件，其中可识别名称（DN）作为 IKE ID 类型。 ADVPN 配置文件 — ADVPN 的预定义配置文件。您可以通过单击“创建 VPN”页面上的查看 VPN 配置文件设置来查看和编辑 VPN 配置文件的详细信息。
身份验证方法	选择设备用于验证IKE消息来源的身份验证方法。基于预共享 — 指定在身份验证期间使用预共享密钥（即两个对等方之间共享的密钥）来相互识别对等方。必须为每个对等方配置相同的密钥。 RSA 签名 — 指定使用支持加密和数字签名的公钥算法。 DSA 签名 — 指定使用数字签名算法（DSA）。 ECDSA-Signatures-256 —指定使用联邦信息处理标准（FIPS）数字签名标准（DSS） 186-3 中指定的 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA （ECDSA）。 ECDSA-Signatures-384 — 指定使用使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。
网络 IP	输入编号隧道接口的 IPv4 或 IPv6 地址。这是为隧道接口自动分配 IP 地址的子网地址。仅当您选择动态路由拓扑时，此选项才可用。
预共享密钥	使用预共享密钥建立 VPN 连接，这本质上是双方相同的密码。预共享密钥通常部署在单个组织内部或不同组织之间的站点到站点 IPsec VPN。仅当身份验证方法基于预共享时，预共享密钥才适用。选择要使用的预共享密钥类型：自动生成 - 选择是否要为每个隧道自动生成唯一密钥。手动（Manual） - 选择以手动输入密钥。默认情况下，手册键处于屏蔽状态。要取消遮罩手册键，请选择取消遮罩图标。
最大传输单元	选择最大传输单元（MTU）（以字节为单位）。MTU 定义 IP 数据包的最大大小，包括 IPsec 开销。您可以指定隧道端点的 MTU 值。范围为 68-9192 字节，默认值为 1500 字节。

设备设置

将设备添加为 VPN 中的端点。如果所选设备是 MNHA 对的一部分，您可以单独添加设备，根据需要选择一个或两个。您最多可以添加两台设备。

要在基于路由的 VPN 中添加设备：

单击“添加”，然后单击以下选项之一：“设备”或“外部网设备”。

此时将显示“添加设备”页面。
如表 2 中的说明配置设备参数。
单击确定。

表 2：添加设备设置
字段	行动
设备	选择设备。
外部接口	选择 IKE 安全关联（SA）的传出接口。
IKE 地址	输入主互联网密钥交换（IKE）网关的 IPv4 或 IPv6 地址。
通道区段	选择隧道区域。隧道区域是地址空间的逻辑区域，可支持 NAT 应用的动态 IP （DIP）地址池，以便对 IPsec 流量进行预封装和后封装。隧道区域还提供了将隧道接口与 VPN 隧道组合的灵活性。隧道区域仅适用于基于路由的站点到站点 VPN。
路由实例	选择所需的路由实例。路由实例仅适用于基于路由的站点到站点 VPN。
发起方/接收方	选择以下选项之一：发起方收件人当 VPN 配置文件为积极模式配置文件时，此选项适用。
证书	选择证书以对 VPN 发起方和接收方进行身份验证。身份验证证书适用于以下场景之一： VPN 配置文件为 RSA 配置文件或 ADVPN 配置文件。身份验证方法为 RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256 或 ECDSA-Signatures-384。
可信证书颁发机构/集团	从列表中选择证书颁发机构配置文件，将其与本地证书相关联。证书颁发机构配置文件适用于以下方案之一： VPN 配置文件是 RSA 配置文件、ADVPN 配置文件或具有任何签名类型的默认配置文件。身份验证方法为 RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256 或 ECDSA-Signatures-384。
导出	选择要导出的布线类型。静态路由 — 导出静态路由。 Juniper Security Director Cloud 支持管理员通过隧道将静态路由导出到远程站点，从而允许静态路由网络加入 VPN，从而简化 VPN 地址管理。对于 eBGP 动态路由，默认情况下会选中静态路由复选框。 RIP 路由 — 导出 IPv4 的 RIP 路由或 IPv6 的 RIPng 路由。只有当路由拓扑为 OSPF 动态路由时，才能导出 RIP 路由。 OSPF 路由 — 导出 IPv4 的 OSPFv2 路由和 IPv6 的 OSPFv3 路由。只有当路由拓扑为 RIP 动态路由时，才能导出 OSPF 路由。如果选择 OSPF 或 RIP 导出，则 VPN 网络外的 OSPF 或 RIP 路由将通过 OSPF 或 RIP 动态路由协议导入 VPN 网络。
OSPF 区域	选择 0 到 4,294,967,295 范围内的 OSPF 区域 ID，其中必须配置此 VPN 的隧道接口。当路由拓扑为基于路由的站点到站点 VPN 中的OSPF动态路由时，OSPF区域 ID 适用。
最大重传时间	选择重传计时器以限制 RIP 按需电路向无响应的对等方重新发送更新消息的次数。如果达到配置的重传阈值，来自下一跃点路由器的路由将被标记为不可访问，并且抑制计时器将启动。您必须配置一对 RIP 按需电路，此计时器才能生效。重传范围为 5-180 秒。默认值为 50 秒。仅当路由拓扑为基于路由的站点到站点 VPN 中的 RIP 动态路由时，此选项才适用。
AS 编号	选择要分配给自治系统（AS）的唯一编号。 AS 编号标识自治系统，并使系统能够与其他相邻自治系统交换外部路由信息。有效范围为 0-4294967294。仅当路由拓扑为基于路由的站点到站点 VPN 中的 e-BGP 动态路由时，AS 编号才适用。
受保护的网络	配置所选设备的地址或接口类型，以保护网络的一个区域与另一个区域隔开。选择动态路由协议（DRP）时，将显示接口选项。您还可以通过单击 + 号来创建地址。此选项仅适用于基于路由的站点到站点 VPN。

VPN 配置文件设置

单击查看 VPN 配置文件设置以查看或编辑 VPN 配置文件。如果 VPN 配置文件为内联，则可以编辑配置。如果配置文件已共享，则只能查看配置。

表 3：VPN 配置文件设置
字段	行动
IKE 设置
身份验证方法	选择设备用于验证IKE消息来源的身份验证方法。基于预共享 — 指定在身份验证期间使用预共享密钥（即两个对等方之间共享的密钥）来相互识别对等方。必须为每个对等方配置相同的密钥。 RSA 签名 — 指定使用支持加密和数字签名的公钥算法。 DSA 签名 — 指定使用数字签名算法（DSA）。 ECDSA-Signatures-256 —指定使用联邦信息处理标准（FIPS）数字签名标准（DSS） 186-3 中指定的 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA （ECDSA）。 ECDSA-Signatures-384 — 指定使用使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。
IKE 版本	选择用于协商 IPsec 动态安全关联（SA）所需的 IKE 版本（V1 或 V2）。默认情况下，使用 IKE V2。
模式	选择 IKE 策略模式。主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。此模式提供身份保护。积极 — 采用主模式消息数的一半，协商能力较小，并且不提供身份保护。当 IKE 版本为 V1 时，该模式适用。
加密算法	选择适当的加密机制。
身份验证算法	为设备选择一种算法来验证数据包的真实性和完整性。
Deffie Hellman 组	选择一个 Diffie-Hellman （DH）组，以确定密钥交换过程中使用的密钥的强度。
生存秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180-86400 秒。
失效对等体检测	启用此选项以允许两个网关确定对等网关是否已开启并响应在 IPsec 建立期间协商的失效对等方检测（DPD）消息。
DPD 模式	选择 DPD 模式。优化 — 如果设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。探查空闲隧道 — 如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。始终发送 — 无论对等方之间的流量活动如何，都按配置的时间间隔发送 R-U-THERE 消息。
DPD 间隔	选择发送失效对等方检测消息的间隔（以秒为单位）。默认间隔为 10 秒，有效范围为 2-60 秒。
DPD 阈值	选择失败 DPD 阈值。这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，有效范围为 1-5。
高级设置
通用 IKE ID	启用此选项以接受对等方 IKE ID。默认情况下，此选项处于禁用状态。如果启用了通用 IKE ID，则会自动禁用 IKE ID 选项。
IKEv2 重新身份验证	选择重新验证频率。可以通过将重新认证频率设置为 0 来禁用重新认证。有效范围为 0-100。
支持 IKEv2 RE 分段	启用此选项可将大型 IKEv2 消息拆分为一组较小的消息，以便在 IP 级别不会出现分段。
IKEv2 重新分片大小	选择消息分段的数据包大小。默认情况下，IPv4 的大小为 576 字节，有效范围为 570 —1320 字节。
IKE ID	选择以下选项之一：无可分辨名称主机名 IPv4 地址电子邮件地址 IKE ID 仅在禁用通用 IKE ID 时适用。
NAT-T	如果动态端点位于 NAT 设备后方，则启用网络地址转换遍历（NAT-T）。
保持活力	选择一个时间段（以秒为单位）以保持连接保持运行。在 VPN 对等方之间的连接期间，需要 NAT 激活来维护 NAT 转换。有效范围为 1-300 秒。
IPsec 设置
协议	选择建立 VPN 所需的协议。 ESP — 封装安全性有效负载（ESP）协议提供加密和身份验证。 AH — 认证头（AH）协议提供数据完整性和数据身份验证。
加密算法	选择加密方法。如果协议是 ESP，则此选项适用。
身份验证算法	为设备选择一种算法来验证数据包的真实性和完整性。
完全向前保密	选择完全向前保密（PFS）作为设备用于生成加密密钥的方法。 PFS 独立于之前的密钥生成每个新加密密钥。编号越高的组提供更高的安全性，但需要更多的处理时间。
建立隧道	指定何时激活 IKE：立即 — 在提交 VPN 配置更改后立即激活 IKE。流量上 — 仅当数据流量流动时激活 IKE，并且必须与对等网关协商。这是默认行为。
高级设置
VPN 监控器	启用此选项可发送互联网控制消息协议（ICMP）以确定 VPN 是否已开启。
优化	启用此选项可优化 VPN 监控，并将 SRX 系列防火墙配置为仅当有传出流量且配置的对等方没有通过 VPN 隧道传入流量时，才会发送 ICMP 回显请求（也称为 ping）。如果有传入流量通过 VPN 隧道，SRX 系列防火墙会将该隧道视为活动状态，并且不会向对等方发送 ping。
防重放	为 IPsec 机制启用此选项，以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。 IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制存在错误，导致数据包无序，从而无法正常运行，请禁用此选项。默认情况下，防重放检测处于启用状态。
安装间隔	选择在设备上安装重新密钥的出站安全关联（SA）所允许的最长时间（以秒为单位）。
空闲时间	选择适当的空闲时间间隔，在此之后，如果未收到流量，会话及其相应的转换将超时。
DF 位	选择一个选项来处理 IP 消息中的不分段（DF）位。清除 — 禁用 IP 消息中的 DF 位。这是默认选项。复制 — 将 DF 位复制到 IP 消息。设置 — 启用 IP 消息中的 DF 位。
复制外部 DSCP	启用此选项可在解密期间将差异服务代码点（DSCP）字段从外部 IP 报头加密数据包复制到内部 IP 报头纯文本消息。启用此功能的好处是，在 IPsec 解密之后，明文数据包会遵循内部服务等级（CoS）规则。
生存秒数	选择 IKE 安全关联（SA）的生存期（以秒为单位）。范围为 180-86,400 秒。
生存千字节	选择 IPsec 安全关联（SA）的生存期（以千字节为单位）。范围为 64 到 4294967294 KB。

隧道设置

表 4：隧道设置
设置	准则
预共享密钥	输入虚拟专用网络（VPN）网关用于对远程访问用户进行身份验证的互联网密钥交换（IKE）预共享密钥。
隧道接口	进入基于路由的 VPN 的隧道接口。
最大传输单元	输入 IPsec 隧道的最大传输数据包大小。仅当您选择流量选择器或静态路由作为基于路由的站点到站点 VPN 中的路由拓扑时，最大传输单元（MTU）选项才可用。
VPN 名称	输入远程访问连接的名称。
IKE 身份	选择以下选项之一：主机名 IPv4/IPv6 地址电子邮件地址
主机名	输入要用作对等方标识的 IKE ID 的主机名（FQDN）。
IPv4/IPv6 地址	输入要用作对等方标识的 IKE ID 的 IPv4 或 IPv6 地址。
电子邮件地址	输入要用作对等方标识的 IKE ID 的电子邮件地址。
通道地址	输入客户端要连接到的隧道接口地址（IPv4 或 IPv6）。仅当基于路由的站点到站点 VPN 中的路由拓扑为 OSPF 动态路由、RIP 动态路由或 eBGP 动态路由时，通道地址选项才可用。
本地代理 ID	输入本地 IP 地址或前缀。仅当基于路由的站点到站点 VPN 中的路由拓扑为静态路由、OSPF 动态路由、RIP 动态路由或 eBGP 动态路由时，本地代理 ID 选项才可用。
远程代理 ID	输入远程 IP 地址或前缀。仅当基于路由的站点到站点 VPN 中的路由拓扑为 OSPF 动态路由、RIP 动态路由或 eBGP 动态路由时，远程代理 ID 选项才可用。

管理基于路由的站点到站点 VPN

编辑 - 选择 IPsec VPN，然后单击铅笔图标（）。编辑 IPsec VPN 后，您必须部署这些 VPN，以便在设备上应用配置。

您无法编辑标记为要删除的 IPsec VPN。
删除 - 选择 IPsec VPN，然后单击垃圾桶图标（）。按照屏幕上的说明进行作。此时，系统不会从关联的设备中删除 IPsec VPN。您必须重新部署 IPsec VPN 才能将其从设备中删除。

要恢复标记为要删除的 IPsec VPN，请将鼠标悬停在“状态”列中的标志上，然后选择 “撤消删除”。IPsec VPN 状态将恢复为之前的状态。

本页内容