Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建和管理 VPN 配置文件

配置 VPN 配置文件,用于在建立 VPN 连接时定义安全参数。您可以重复使用相同的配置文件来创建更多 VPN 隧道。VPN 配置文件包括 VPN 提议、VPN 模式、身份验证以及 IPsec VPN 中使用的其他参数。创建 VPN 配置文件时, Juniper Security Director Cloud 会在数据库中创建一个对象来表示该 VPN 配置文件。您可以使用此对象创建基于路由或基于策略的 IPsec VPN。

注意:

您无法修改或删除瞻博网络定义的 VPN 配置文件。您只能克隆配置文件并创建新配置文件。

您还可以在 VPN 配置文件中配置称为第 1 阶段和第 2 阶段设置的 IKE 协商阶段。SRX 系列防火墙在 IPsec VPN 的 IKE 协商中支持以下身份验证方法:

  • 预共享密钥

  • ECDSA 证书

  • RSA 证书

  • DSA 证书

预定义的 VPN 配置文件可用于基于 RSA 证书的身份验证。在设备发现期间,将自动检索设备中的 PKI 证书列表。

  1. 单击 SRX > IPsec VPN > VPN 配置文件

    此时将打开 VPN 配置文件页面。

  2. 单击“创建”以创建新的 VPN 配置文件,然后选择以下选项之一:

    • 基于策略的站点到站点

    • 站点到站点
    • 中心辐射型(建立所有对等方)
    • 中心辐射型(按辐条建立)
    • 中心辐射型 (ADVPN - 自动发现 VPN)
    • 远程访问瞻博网络安全连接
  3. 根据以下准则完成配置:
    表 1:VPN 配置文件设置

    设置

    指引

    名字

    输入一个唯一的字符串,最多 255 个字母数字字符,不带空格。

    字符串可以包含冒号、句点、破折号和下划线。

    描述

    输入最多包含 1024 个字符的 VPN 配置文件的描述。

    身份验证类型

    选择所需的身份验证类型:

    • 基于预共享

    • RSA 签名

    • DSA 签名

    • ECDSA-签名-256

    • ECDSA-签名-384

    IKE 版本

    选择用于协商 IPsec 的动态安全关联 (SA) 所需的 IKE 版本(V1 或 V2)。默认情况下,使用 IKEv1。

    瞻博网络 Security Director Cloud 中,IKEv2 消息分段允许 IKEv2 在 IP 分段可能被阻止且对等方无法建立 IPsec 安全关联 (SA) 的环境中运行。IKEv2 分片将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。

    模式

    选择 VPN 模式:

    • 主 - 构建站点到站点 VPN 时建立 VPN 的最常见且最安全的方法。IKE 身份是加密的,窃听者无法确定。

    • 积极 — 这是主模式 IPsec 协商的替代方法。这是构建从客户端工作站到 VPN 网关的 VPN 时最常见的模式,其中客户端的 IP 地址既不事先已知也不固定。

    加密算法

    选择适当的加密机制。

    身份验证算法

    选择一种算法。设备使用此算法来验证数据包的真实性和完整性。

    Deffie Hellman 集团

    选择一个组。

    Diffie-Hellman (DH) 群组确定密钥交换过程中使用的密钥的强度。

    生存秒数

    选择 IKE 安全关联 (SA) 的生存期。

    有效范围为 180 到 86400 秒。

    失效对等体检测

    启用此选项可允许两个网关确定对等网关是否已启动,以及是否响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。

    DPD 模式

    选择 DPD 模式。

    • 优化:设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

    • 探测空闲隧道: 如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

    • 始终发送:无论对等方之间的流量活动如何,都按配置的时间间隔发送 R-U-THERE 消息。

    DPD 间隔

    选择以秒为单位的时间间隔以发送失效对等方检测消息。

    默认间隔为 10 秒,有效范围为 2 到 60 秒。

    DPD 阈值

    选择故障 DPD 阈值。

    这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1 到 5。
    高级设置

    常规-IkeID

    启用此选项可常规接受对等 IKE ID。

    默认情况下,此选项处于禁用状态。如果启用了“通用 IKE ID”,则会自动禁用“IKE ID”选项。

    • 此选项在积极 VPN 模式下不可用。

    • 您不能使用为自动 VPN 和 ADVPN 启用了常规 IKE ID 选项的 VPN 配置文件。

    IKEv2 重新身份验证

    选择重新验证的频率。可以通过将重新身份验证频率设置为 0 来禁用重新身份验证。

    有效范围为 0 到 100。

    IKEv2 Re 分片支持

    启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,从而在 IP 级别上不存在分段。

    IKEv2 重新分段大小

    选择消息分段的数据包大小。

    默认情况下,IPv4 的大小为 576 字节,有效范围为 570 到 1320。

    IKE Id

    配置以下 IKE 标识符:

    • 主机名 - 主机名或 FQDN 是标识终端系统的字符串。

    • User@hostname - 一个简单的字符串,其格式与电子邮件地址相同。

      用户 - 输入用户的电子邮件地址。为了便于管理,建议您使用用户的有效电子邮件地址。

    • IPAddress — 这是站点到站点 VPN 最常用的 IKE 身份形式。

      这可以是 IPv4 或 IPv6 地址。仅当 VPN 模式为“积极”且身份验证类型为“预共享密钥”时,此选项才可用。

    • DN - 证书中用于标识证书中唯一用户的可分辨名称。

      此选项仅适用于 RSA、DSA 和 ECDSA 签名身份验证类型。

    注意:

    • 对于预共享密钥身份验证,请键入:

      • 如果启用了“通用 IKE ID”选项,则“IKE ID”选项会自动设置为“无”,并且您无法编辑此选项。

      • 修改 IPsec VPN 时,如果选择了启用了“常规 IKE ID”选项的 VPN 配置文件,则无法编辑“查看/编辑隧道”页面中的“IKE ID”列。

    • 对于基于证书的身份验证类型:

      • 即使启用了“常规 IKE ID”选项,也可以编辑“IKE ID”选项, local-identity 因为 CLI 用于证书身份验证。

      • 修改 IPsec VPN 时,如果您选择了启用了“常规 IKE ID”选项的 VPN 配置文件,则可以在“查看/编辑隧道”页面中编辑“IKE ID”列。

    NAT-T

    如果动态终结点位于 NAT 设备后面,则启用网络地址转换遍历 (NAT-T)。

    保持活力

    选择一个时间段(以秒为单位)以保持连接处于活动状态。

    在VPN对等方之间的连接期间,需要NAT Keepalives来维护NAT转换。有效范围为 1 到 300 秒。

    IPsec 设置

    协议

    选择建立 VPN 所需的协议。

    • ESP — 封装安全有效负载 (ESP) 协议同时提供加密和身份验证。

    • AH — 认证头 (AH) 协议提供数据完整性和数据认证。

    加密算法

    选择必要的加密方法。

    如果协议是 ESP,则适用。

    身份验证算法

    选择一种算法。

    设备使用这些算法来验证数据包的真实性和完整性。

    完全向前保密

    选择“完全向前保密 (PFS)”作为设备用于生成加密密钥的方法。

    PFS 独立于前一个密钥生成每个新加密密钥。编号越高的组安全性越高,但需要更长的处理时间。

    建立隧道

    选择一个选项以指定何时激活 IKE。

    • 立即 — 执行 VPN 配置更改后,IKE 将立即激活。

    • On-traffic — 仅当数据流量流动且必须与对等网关协商时,IKE 才会激活。这是默认行为。

    高级设置

    VPN 监控器

    启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已打开。

    优化

    启用此选项可优化 VPN 监控并将 SRX 系列防火墙配置为仅当有传出流量且没有来自配置的对等方通过 VPN 隧道的传入流量时,才发送 ICMP 回显请求(也称为 ping)。

    如果有通过 VPN 隧道的传入流量,SRX 系列防火墙会认为该隧道处于活动状态,不会向对等方发送 ping。

    防重放

    为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的一系列数字的 VPN 攻击。

    IPsec 不接受已看到相同序列号的数据包。它会检查序列号并强制执行检查,而不仅仅是忽略序列号。

    如果 IPsec 机制出现错误,导致数据包出现乱序,从而妨碍正常运行,请禁用此选项。

    默认情况下,防重放检测处于启用状态。

    安装间隔

    选择允许在设备上安装重新密钥的出站安全关联 (SA) 的最大秒数。

    空闲时间

    选择适当的空闲时间间隔。

    如果未收到任何流量,会话及其对应的转换通常会在一段时间后超时。

    DF 位

    选择一个选项以处理 IP 消息中的不分段 (DF) 位。

    • 清除 — 禁用 IP 消息的 DF 位。这是默认选项。

    • 复制 — 将 DF 位复制到 IP 消息。

    • set — 启用 IP 消息中的 DF 位。

    复制外部 DSCP

    启用此选项可允许将差分服务代码点 (DSCP) 字段从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。

    启用此功能的好处是,在 IPsec 解密后,明文数据包可以遵循内部服务等级 (CoS) 规则。

    生存秒数

    选择 IKE 安全关联 (SA) 的生存期。

    有效范围为 180 到 86400 秒。

    生存期千字节

    选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。

    有效范围为 64 到 4294967294 KB。

将创建具有预定义 VPN 配置的新 VPN 配置文件。您可以使用此对象创建 IPsec VPN。

管理 VPN 配置文件

您可以编辑或克隆自定义 IPsec VPN 配置文件。编辑或克隆从早期版本迁移的 VPN 配置文件时,需要为 VPN 配置文件选择 VPN 拓扑。您无法修改或删除瞻博网络预定义的 VPN 配置文件。您只能克隆配置文件并创建新配置文件。

  • 编辑 - 选择配置文件,然后单击 。在创建 IPsec VPN 时选择 VPN 拓扑结构。编辑从早期版本迁移的 VPN 配置文件时,需要为 VPN 配置文件选择 VPN 拓扑。

  • 克隆 - 选择配置文件,然后单击“更多>“克隆”。