创建中心辐射型(按辐射建立)VPN
Auto-VPN 允许您为当前和未来的分支配置中心。添加或删除分支设备时,无需在中心更改配置,这使管理员可以灵活地管理大规模网络部署。
开始之前
阅读 IPsec VPN 概述 主题。
查看 IPsec VPN 主页,了解您当前的数据集。有关字段说明,请参阅 IPsec VPN 主页字段 。
创建地址和地址集。请参阅 创建地址或地址组。
创建 VPN 配置文件。请参阅 创建 VPN 配置文件。
设置 |
指引 |
---|---|
名字 |
输入最多 63 个字母数字字符(不含空格)的唯一字符串。 字符串可以包含冒号、句点、短划线和下划线。 |
描述 |
输入最多包含 255 个字符的 VPN 描述。 |
路由拓扑 |
选择 OSPF 动态路由以生成 OSPF 配置。 |
VPN 配置文件 |
根据部署方案从下拉列表中选择 VPN 配置文件。
|
身份验证方法 |
从列表中选择设备用于验证 IKE 消息源的身份验证方法。
|
最大传输单位 |
选择最大传输单位 (MTU)(以字节为单位)。 MTU 定义 IP 数据包的最大大小,包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节,默认值为 1500 字节。 |
网络 IP |
输入编号隧道接口的 IP 地址。 这是自动为隧道接口分配 IP 地址的子网地址。 |
设备 |
将设备添加为 VPN 中的端点。
注意:
不能添加多节点高可用性 (MNHA) 对。但是,您可以在 MNHA 对中添加一个或两个设备。 要在基于路由的 VPN 中添加设备,请执行以下操作:
|
设置 |
指引 |
---|---|
装置 |
选择一个设备。 |
外部接口 |
选择 IKE 安全关联 (SA) 的传出接口。\ 此接口与充当其运营商的区域相关联,为其提供防火墙安全性。 |
隧道区 |
选择隧道区域。 隧道区域是地址空间的逻辑区域,可支持 NAT 应用程序对预封装和封装后的 IPsec 流量的动态 IP (DIP) 地址池。隧道区域还提供了将隧道接口与 VPN 隧道组合在一起的灵活性。 |
度量 |
指定下一跃点的访问路由成本。 |
路由实例 |
选择所需的路由实例。 |
证书 |
选择证书以对虚拟专用网络 (VPN) 发起方和接收方进行身份验证。 这适用于以下情况之一:
|
受信任的 CA/组 |
从列表中选择 CA 配置文件以将其与本地证书关联。 这适用于以下情况之一:
|
出口 |
选择要导出的路由类型。
如果选择 OSPF 或 RIP 导出,VPN 网络外部的 OSPF 或 RIP 路由将通过 OSPF 或 RIP 动态路由协议导入到 VPN 网络中。 |
OSPF 区域 |
选择介于 0 到 4,294,967,295 范围内的 OSPF 区域 ID,其中必须配置此 VPN 的隧道接口。 当路由拓扑为 OSPF 动态路由时,OSPF 区域 ID 适用。 |
受保护的网络 |
配置所选设备的地址或接口类型,以保护网络的一个区域免受另一个区域的影响。 选择动态路由协议后,将显示接口选项。 您也可以通过单击 添加新地址来创建地址。 |
设置 |
指引 |
---|---|
IKE 设置 | |
IKE 版本 |
选择用于协商 IPsec 动态安全关联 (SA) 的所需 IKE 版本(V1 或 V2)。 默认情况下,使用 IKE V2。 |
模式 |
选择 IKE 策略模式。
当 IKE 版本为 V1 时,模式适用。 |
加密算法 |
选择适当的加密机制。 |
身份验证算法 |
选择一种算法。 设备使用此算法来验证数据包的真实性和完整性。 |
Deffie Hellman 集团 |
选择一个组。 Diffie-Hellman (DH) 组确定密钥交换过程中使用的密钥的强度。 |
终身秒数 |
选择 IKE 安全关联 (SA) 的生存期。 有效范围为 180 到 86400 秒。 |
失效对等体检测 |
启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。 |
DPD 模式 |
选择 DPD 模式。
|
DPD 间隔 |
选择发送失效对等方检测消息的间隔(以秒为单位)。 默认间隔为 10 秒,有效范围为 2 到 60 秒。 |
DPD 阈值 |
选择故障 DPD 阈值。 这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1 到 5。 |
高级设置 | |
通用 IKE ID |
启用此选项以接受对等 IKE ID 默认情况下,此选项处于禁用状态。如果启用了常规 IKE ID,则会自动禁用 IKE ID 选项。 |
IKEv2 重新身份验证 |
选择重新验证频率。可以通过将重新身份验证频率设置为 0 来禁用重新身份验证。 有效范围为 0 到 100。 |
IKEv2 重新分段支持 |
启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。 |
IKEv2 重新分段大小 |
选择对消息进行分段的数据包大小。 默认情况下,IPv4 的大小为 576 字节,有效范围为 570 到 1320。 |
IKE ID |
选择以下选项之一:
IKE ID 仅在禁用常规 IKE ID 时适用。 |
NAT-T |
如果动态端点位于 NAT 设备后面,请启用网络地址转换遍历 (NAT-T)。 |
保持活力 |
选择一个时间段(以秒为单位)以保持连接处于活动状态。 在 VPN 对等方之间的连接期间,需要 NAT 激活来维护 NAT 转换。 有效范围为 1 到 300 秒。 |
IPsec 设置 | |
协议 |
选择建立 VPN 所需的协议。
|
加密算法 |
选择加密方法。 如果协议是 ESP,则这适用。 |
身份验证算法 |
选择一种算法。 设备使用这些算法来验证数据包的真实性和完整性。 |
完全向前保密 |
选择“完全向前保密 (PFS)”作为设备用于生成加密密钥的方法。 PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。 |
建立隧道 |
选择一个选项以指定何时激活 IKE。
|
高级设置 | |
VPN 监控器 |
启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已启动。 |
优化 |
启用此选项可优化 VPN 监控,并将 SRX 系列防火墙配置为仅当有传出流量且没有来自配置对等方的传入流量通过 VPN 隧道时,才发送 ICMP 回显请求(也称为 ping)。 如果有传入流量通过 VPN 隧道,SRX 系列防火墙会认为该隧道处于活动状态,不会向对等方发送 ping。 |
防重放 |
为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。 IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查,而不仅仅是忽略序列号。 如果 IPsec 机制出错,导致数据包无序,从而阻止正常运行,请禁用此选项。 默认情况下,防重放检测处于启用状态。 |
安装间隔 |
选择允许在设备上安装重新生成密钥的出站安全关联 (SA) 的最大秒数。 |
空闲时间 |
选择适当的空闲时间间隔。 如果未收到流量,会话及其相应的转换通常会在一段时间后超时。 |
DF 位 |
选择一个选项以处理 IP 消息中的不分段 (DF) 位。
|
复制外部 DSCP |
启用此选项可允许将差异服务代码点 (DSCP) 字段从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。 启用此功能的好处是,在 IPsec 解密之后,明文数据包可以遵循内部服务等级 (CoS) 规则。 |
终身秒数 |
选择 IKE 安全关联 (SA) 的生存期。 有效范围为 180 到 86400 秒。 |
生命周期千字节 |
选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。 有效范围为 64 到 4294967294 KB。 |