Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

创建和管理 VPN 配置文件

配置 VPN 配置文件,以便在建立 VPN 连接时定义安全参数。您可以重复使用同一配置文件来创建更多 VPN 隧道。VPN 配置文件包括 VPN 提议、VPN 模式、身份验证以及 IPsec VPN 中使用的其他参数。创建 VPN 配置文件时, Juniper Security Director Cloud 会在数据库中创建一个对象来表示 VPN 配置文件。您可以使用此对象创建基于路由或基于策略的 IPsec VPN。

注意:

您无法修改或删除瞻博网络定义的 VPN 配置文件。您只能克隆配置文件并创建新配置文件。

您还可以在 VPN 配置文件中配置 IKE 协商阶段(称为第 1 阶段和第 2 阶段设置)。SRX 系列防火墙在 IPsec VPN 的 IKE 协商中支持以下身份验证方法:

  • 预共享密钥

  • ECDSA 证书

  • RSA 证书

  • DSA 证书

预定义的 VPN 配置文件可用于基于 RSA 证书的身份验证。在设备发现期间,系统会自动检索设备的 PKI 证书列表。

创建 VPN 配置文件

  1. 单击 安全性 > IPsec VPN 管理> VPN 配置文件

    “VPN 配置文件”页面随即打开。

  2. 单击创建以创建新的 VPN 配置文件,然后选择以下选项之一:

    • 基于策略的站点到站点

    • 站点到站点
    • 中心辐射型(建立所有对等方)
    • 中心辐射型(按辐射建立)
    • 中心辐射型(ADVPN - 自动发现 VPN)
    • 远程访问瞻博网络安全连接
  3. 请按照以下准则完成配置:
    表 1:VPN 配置文件设置

    设置

    指南

    姓名

    输入一个最多 255 个字母数字字符的唯一字符串,不含空格。

    字符串可以包含冒号、句点、破折号和下划线。

    描述

    输入 VPN 配置文件最多包含 1024 个字符的描述。

    身份验证类型

    选择所需的身份验证类型:

    • 基于预共享

    • RSA 签名

    • DSA 签名

    • ECDSA-签名-256

    • ECDSA-签名-384

    IKE 版本

    选择用于协商 IPsec 动态安全关联 (SA) 所需的 IKE 版本(V1 或 V2)。默认情况下,使用 IKEv1。

    Juniper Security Director Cloud 中,IKEv2 消息分段允许 IKEv2 在 IP 分段可能被阻止且对等方无法建立 IPsec 安全关联 (SA) 的环境中运行。IKEv2 分段将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不会出现分段。

    模式

    选择 VPN 模式:

    • 主 — 构建站点到站点 VPN 时建立 VPN 的最常见且最安全的方法。IKE 身份已加密,窃听者无法确定。

    • 积极 — 这是主模式 IPsec 协商的替代方法。这是从客户端工作站到 VPN 网关构建 VPN 时最常见的模式,其中客户端的 IP 地址既不提前已知,也不固定。

    加密算法

    选择适当的加密机制。

    身份验证算法

    选择一种算法。设备使用此算法来验证数据包的真实性和完整性。

    Deffie Hellman 集团

    选择一个组。

    Diffie-Hellman (DH) 组确定密钥交换过程中所用密钥的强度。

    生存秒数

    选择 IKE 安全关联 (SA) 的生存期。

    有效范围为 180 到 86400 秒。

    失效对等体检测

    启用此选项以允许两个网关确定对等网关是否已开启并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。

    DPD 模式

    选择 DPD 模式。

    • 优化:如果设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

    • 探查空闲隧道: 如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

    • Always-send:无论对等方之间的流量活动如何,都按配置的时间间隔发送 R-U-THERE 消息。

    DPD 间隔

    选择发送失效对等方检测消息的间隔(以秒为单位)。

    默认间隔为 10 秒,有效范围为 2 到 60 秒。

    DPD 阈值

    选择失败 DPD 阈值。

    这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1 到 5。
    高级设置

    通用 IKEID

    启用此选项通常接受对等 IKE ID。

    默认情况下,此选项处于禁用状态。如果启用了通用 IKE ID,则会自动禁用 IKE ID 选项。

    • 此选项在积极 VPN 模式下不可用。

    • 您不能使用为自动 VPN 和 ADVPN 启用了常规 IKE ID 选项的 VPN 配置文件。

    IKEv2 重新身份验证

    选择重新验证频率。可以通过将重新认证频率设置为 0 来禁用重新认证。

    有效范围为 0 到 100。

    支持 IKEv2 RE 分段

    启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不会出现分段。

    IKEv2 重新分片大小

    选择消息分段的数据包大小。

    默认情况下,IPv4 的大小为 576 字节,有效范围为 570 到 1320。

    IKE Id

    配置以下 IKE 标识符:

    • 主机名 — 主机名或 FQDN 是标识终端系统的字符串。

    • User@hostname - 与电子邮件地址格式相同的简单字符串。

      用户 - 输入用户的电子邮件地址。为便于管理,建议使用用户的有效电子邮件地址。

    • IPAddress — 这是站点到站点 VPN 最常见的 IKE 身份形式。

      这可以是 IPv4 或 IPv6 地址。仅当 VPN 模式为“积极”且身份验证类型为“预共享密钥”时,此选项才可用。

    • DN - 证书中用于标识证书中唯一用户的可分辨名称。

      此选项仅适用于 RSA、DSA 和 ECDSA 签名身份验证类型。

    注意:

    • 对于预共享密钥身份验证类型:

      • 如果启用了常规 IKE ID 选项,则 IKE ID 选项将自动设置为无,您无法编辑此选项。

      • 修改 IPsec VPN 时,如果选择了启用了通用 IKE ID 选项的 VPN 配置文件,则无法编辑“查看/编辑隧道”页面中的 IKE ID 列。

    • 对于基于证书的身份验证类型:

      • 即使已启用常规 IKE ID 选项,也可以编辑 IKE ID 选项,因为 local-identity CLI 用于证书身份验证。

      • 修改 IPsec VPN 时,如果您选择了启用了通用 IKE ID 选项的 VPN 配置文件,则可以在“查看/编辑隧道”页面中编辑 IKEIKE ID 列。

    NAT-T

    如果动态端点位于 NAT 设备后方,则启用网络地址转换遍历 (NAT-T)。

    保持活力

    选择一个以秒为单位的时间段以保持连接保持运行。

    在 VPN 对等方之间的连接期间,需要 NAT 激活来维护 NAT 转换。有效范围为 1 到 300 秒。

    IPsec 设置

    协议

    选择建立 VPN 所需的协议。

    • ESP — 封装安全性有效负载 (ESP) 协议提供加密和身份验证。

    • AH — 认证头 (AH) 协议提供数据完整性和数据身份验证。

    加密算法

    选择必要的加密方法。

    如果协议是 ESP,则这适用。

    身份验证算法

    选择一种算法。

    设备使用这些算法来验证数据包的真实性和完整性。

    完全向前保密

    选择完全向前保密 (PFS) 作为设备用于生成加密密钥的方法。

    PFS 独立于之前的密钥生成每个新加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。

    建立隧道

    选择一个选项以指定何时激活 IKE。

    • 立即 — 在提交 VPN 配置更改后立即激活 IKE。

    • 流量上 — 仅当数据流量流动时激活 IKE,并且必须与对等网关协商。这是默认行为。

    高级设置

    VPN 监控器

    启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已开启。

    优化

    启用此选项可优化 VPN 监控,并将 SRX 系列防火墙配置为仅当有传出流量且配置的对等方没有通过 VPN 隧道传入流量时,才会发送 ICMP 回显请求(也称为 ping)。

    如果有传入流量通过 VPN 隧道,SRX 系列防火墙会将该隧道视为活动状态,并且不会向对等方发送 ping。

    防重放

    为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。

    IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查,而不仅仅是忽略序列号。

    如果 IPsec 机制存在错误,导致数据包无序,从而无法正常运行,请禁用此选项。

    默认情况下,防重放检测处于启用状态。

    安装间隔

    选择允许在设备上安装重新密钥的出站安全关联 (SA) 的最大秒数。

    空闲时间

    选择适当的空闲时间间隔。

    如果未收到任何流量,会话及其相应的转换通常会在一段时间后超时。

    DF 位

    选择一个选项来处理 IP 消息中的不分段 (DF) 位。

    • 清除 — 禁用 IP 消息中的 DF 位。这是默认选项。

    • 复制 — 将 DF 位复制到 IP 消息。

    • 设置 — 启用 IP 消息中的 DF 位。

    复制外部 DSCP

    启用此选项以允许将差异服务代码点 (DSCP) 字段从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。

    启用此功能的好处是,在 IPsec 解密之后,明文数据包可以遵循内部服务等级 (CoS) 规则。

    生存秒数

    选择 IKE 安全关联 (SA) 的生存期。

    有效范围为 180 到 86400 秒。

    终身千字节

    选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。

    有效范围为 64 到 4294967294 KB。
将创建具有预定义 VPN 配置的新 VPN 配置文件。您可以使用此对象创建 IPsec VPN。

管理 VPN 配置文件

您可以编辑或克隆自定义 IPsec VPN 配置文件。编辑或克隆从早期版本迁移的 VPN 配置文件时,需要为 VPN 配置文件选择 VPN 拓扑。您无法修改或删除瞻博网络预定义 VPN 配置文件。您只能克隆配置文件并创建新配置文件。

  • 编辑 (Edit) - 选择轮廓,然后单击铅笔图标 (Blue pencil icon indicating edit functionality.)。创建 IPsec VPN 时选择 VPN 拓扑。编辑从早期版本迁移的 VPN 配置文件时,需要为 VPN 配置文件选择 VPN 拓扑。

  • 克隆 - 选择配置文件,然后单击更多> 克隆