Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建中心辐射型(按辐射建立)VPN

Auto-VPN 允许您为当前和未来的分支配置中心。添加或删除分支设备时,无需在中心更改配置,这使管理员可以灵活地管理大规模网络部署。

开始之前

  1. 选择 SRX,> IPsec VPN > IPsec VPN

    此时将打开 IPsec VPN 页面。

  2. 单击创建基于路由> - 中心辐射型(按辐射建立)。

    此时将打开“创建中心辐射型(按辐射建立)”VPN 页面。

  3. 根据表 1 中提供的指南完成 VPN 配置参数。
    注意:

    单击 查看 IKE/IPsec 设置 以查看或编辑 VPN 配置文件。如果 VPN 配置文件是默认配置文件,则可以编辑配置。如果配置文件已共享,则只能查看配置。

    VPN 连接将在拓扑中从灰线变为蓝线,以显示配置已完成。为中心辐射型显示的拓扑只是一种表示形式。最多可以配置一个集线器。

  4. 单击 保存 以保存 IPsec VPN 配置。
表 1:创建中心辐射型(按辐射建立)VPN 页面设置

设置

指引

名字

输入最多 63 个字母数字字符(不含空格)的唯一字符串。

字符串可以包含冒号、句点、短划线和下划线。

描述

输入最多包含 255 个字符的 VPN 描述。

路由拓扑

选择 OSPF 动态路由以生成 OSPF 配置。

VPN 配置文件

根据部署方案从下拉列表中选择 VPN 配置文件。

  • 内联配置文件仅适用于特定的 IPsec VPN。您可以通过单击“创建 VPN”页面上的 “查看 IKE/IPsec 设置 ”来查看和编辑详细信息。

  • 共享配置文件可由一个或多个 IPsec VPN 使用。只能通过单击 查看 IKE/IPsec 设置来查看共享配置文件的详细信息。

身份验证方法

从列表中选择设备用于验证 IKE 消息源的身份验证方法。

  • RSA 签名 - 指定使用支持加密和数字签名的公钥算法。

  • DSA 签名 - 指定使用数字签名算法 (DSA)。

  • ECDSA-Signatures-256 - 指定使用联邦信息处理标准 (FIPS) 数字签名标准 (DSS) 186-3 中指定的使用 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA (ECDSA)。

  • ECDSA-Signatures-384 — 指定使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。

最大传输单位

选择最大传输单位 (MTU)(以字节为单位)。

MTU 定义 IP 数据包的最大大小,包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节,默认值为 1500 字节。

网络 IP

输入编号隧道接口的 IP 地址。

这是自动为隧道接口分配 IP 地址的子网地址。

设备

将设备添加为 VPN 中的端点。

注意:

不能添加多节点高可用性 (MNHA) 对。但是,您可以在 MNHA 对中添加一个或两个设备。

要在基于路由的 VPN 中添加设备,请执行以下操作:

  1. 单击 添加,然后单击以下选项之一:“ 中心设备”、“ 分支设备”或 “外部网分支设备”。

    此时将打开“添加设备”页面。

  2. 配置设备参数,如 表2所示。
  3. 单击“确定”。
表 2:添加设备页面设置

设置

指引

装置

选择一个设备。

外部接口

选择 IKE 安全关联 (SA) 的传出接口。\

此接口与充当其运营商的区域相关联,为其提供防火墙安全性。

隧道区

选择隧道区域。

隧道区域是地址空间的逻辑区域,可支持 NAT 应用程序对预封装和封装后的 IPsec 流量的动态 IP (DIP) 地址池。隧道区域还提供了将隧道接口与 VPN 隧道组合在一起的灵活性。

度量

指定下一跃点的访问路由成本。

路由实例

选择所需的路由实例。

证书

选择证书以对虚拟专用网络 (VPN) 发起方和接收方进行身份验证。

这适用于以下情况之一:

  • VPN 配置文件是 RSA 配置文件或 ADVPN 配置文件。

  • 身份验证方法是 RSA 签名、DSA 签名、ECDSA-签名-256 或 ECDSA-签名-384。

受信任的 CA/组

从列表中选择 CA 配置文件以将其与本地证书关联。

这适用于以下情况之一:

  • VPN 配置文件是 RSA 配置文件或 ADVPN 配置文件。

  • 身份验证方法是 RSA 签名、DSA 签名、ECDSA-签名-256 或 ECDSA-签名-384。

出口

选择要导出的路由类型。

  • 选中 静态路由 复选框以导出静态路由。

    瞻博网络 Security Director Cloud 使管理员能够通过隧道将静态路由导出到远程站点,从而允许静态路由网络加入 VPN,从而简化了 VPN 地址管理。但是,只有集线器端的设备才能将静态默认路由导出到设备端。分支端的设备无法通过隧道导出静态默认路由。

    对于 eBGP 动态路由,默认情况下选中静态路由复选框。

  • 选中 RIP 路由 复选框以导出 RIP 路由。

    仅当路由拓扑为 OSPF 动态路由时,才能导出 RIP 路由。

  • 选中 OSPF 路由 复选框以导出 OSPF 路由。

    仅当路由拓扑为 RIP 动态路由时,才能导出 OSPF 路由。

如果选择 OSPF 或 RIP 导出,VPN 网络外部的 OSPF 或 RIP 路由将通过 OSPF 或 RIP 动态路由协议导入到 VPN 网络中。

OSPF 区域

选择介于 0 到 4,294,967,295 范围内的 OSPF 区域 ID,其中必须配置此 VPN 的隧道接口。

当路由拓扑为 OSPF 动态路由时,OSPF 区域 ID 适用。

受保护的网络

配置所选设备的地址或接口类型,以保护网络的一个区域免受另一个区域的影响。

选择动态路由协议后,将显示接口选项。

您也可以通过单击 添加新地址来创建地址。

表 3:查看 IKE/IPsec 设置

设置

指引

IKE 设置

IKE 版本

选择用于协商 IPsec 动态安全关联 (SA) 的所需 IKE 版本(V1 或 V2)。

默认情况下,使用 IKE V2。

模式

选择 IKE 策略模式。

  • 主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。此模式还提供标识保护。

  • 主动 - 占用主模式一半的消息数,协商能力较低,并且不提供身份保护。

当 IKE 版本为 V1 时,模式适用。

加密算法

选择适当的加密机制。

身份验证算法

选择一种算法。

设备使用此算法来验证数据包的真实性和完整性。

Deffie Hellman 集团

选择一个组。

Diffie-Hellman (DH) 组确定密钥交换过程中使用的密钥的强度。

终身秒数

选择 IKE 安全关联 (SA) 的生存期。

有效范围为 180 到 86400 秒。

失效对等体检测

启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。

DPD 模式

选择 DPD 模式。

  • 优化:在设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

  • 探测空闲隧道:如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

  • 始终发送:无论对等方之间的流量活动如何,都会按配置的时间间隔发送 R-U-THERE 消息。

DPD 间隔

选择发送失效对等方检测消息的间隔(以秒为单位)。

默认间隔为 10 秒,有效范围为 2 到 60 秒。

DPD 阈值

选择故障 DPD 阈值。

这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1 到 5。

高级设置

通用 IKE ID

启用此选项以接受对等 IKE ID

默认情况下,此选项处于禁用状态。如果启用了常规 IKE ID,则会自动禁用 IKE ID 选项。

IKEv2 重新身份验证

选择重新验证频率。可以通过将重新身份验证频率设置为 0 来禁用重新身份验证。

有效范围为 0 到 100。

IKEv2 重新分段支持

启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。

IKEv2 重新分段大小

选择对消息进行分段的数据包大小。

默认情况下,IPv4 的大小为 576 字节,有效范围为 570 到 1320。

IKE ID

选择以下选项之一:

  • 没有

  • 可分辨名称

  • 主机名

  • IPv4 地址

  • 电子邮件地址

IKE ID 仅在禁用常规 IKE ID 时适用。

NAT-T

如果动态端点位于 NAT 设备后面,请启用网络地址转换遍历 (NAT-T)。

保持活力

选择一个时间段(以秒为单位)以保持连接处于活动状态。

在 VPN 对等方之间的连接期间,需要 NAT 激活来维护 NAT 转换。

有效范围为 1 到 300 秒。

IPsec 设置

协议

选择建立 VPN 所需的协议。

  • ESP — 封装安全有效负载 (ESP) 协议同时提供加密和身份验证。

  • AH — 认证头 (AH) 协议提供数据完整性和数据身份验证。

加密算法

选择加密方法。

如果协议是 ESP,则这适用。

身份验证算法

选择一种算法。

设备使用这些算法来验证数据包的真实性和完整性。

完全向前保密

选择“完全向前保密 (PFS)”作为设备用于生成加密密钥的方法。

PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。

建立隧道

选择一个选项以指定何时激活 IKE。

  • 立即 — 提交 VPN 配置更改后立即激活 IKE。

  • 开机流量 — IKE 仅在数据流量流动时激活,并且必须与对等网关协商。这是默认行为。

高级设置

VPN 监控器

启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已启动。

优化

启用此选项可优化 VPN 监控,并将 SRX 系列防火墙配置为仅当有传出流量且没有来自配置对等方的传入流量通过 VPN 隧道时,才发送 ICMP 回显请求(也称为 ping)。

如果有传入流量通过 VPN 隧道,SRX 系列防火墙会认为该隧道处于活动状态,不会向对等方发送 ping。

防重放

为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。

IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查,而不仅仅是忽略序列号。

如果 IPsec 机制出错,导致数据包无序,从而阻止正常运行,请禁用此选项。

默认情况下,防重放检测处于启用状态。

安装间隔

选择允许在设备上安装重新生成密钥的出站安全关联 (SA) 的最大秒数。

空闲时间

选择适当的空闲时间间隔。

如果未收到流量,会话及其相应的转换通常会在一段时间后超时。

DF 位

选择一个选项以处理 IP 消息中的不分段 (DF) 位。

  • 清除 — 禁用 IP 消息中的 DF 位。这是默认选项。

  • 复制 — 将 DF 位复制到 IP 消息。

  • 设置 — 启用 IP 消息中的 DF 位。

复制外部 DSCP

启用此选项可允许将差异服务代码点 (DSCP) 字段从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。

启用此功能的好处是,在 IPsec 解密之后,明文数据包可以遵循内部服务等级 (CoS) 规则。

终身秒数

选择 IKE 安全关联 (SA) 的生存期。

有效范围为 180 到 86400 秒。

生命周期千字节

选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。

有效范围为 64 到 4294967294 KB。