创建基于路由的站点到站点 VPN
站点到站点 VPN 允许组织中两个站点之间的安全通信。
开始之前
阅读 IPsec VPN 概述 主题。
查看 IPsec VPN 主页,了解您当前的数据集。有关字段说明,请参阅 IPsec VPN 主页字段 。
创建地址和地址集。请参阅 创建地址或地址组。
创建 VPN 配置文件。请参阅 创建 VPN 配置文件。
定义外部网设备。请参阅 创建外部网设备。
设置 |
指引 |
---|---|
常规 | |
名字 |
输入最多 63 个字母数字字符(不含空格)的唯一字符串。 字符串可以包含冒号、句点、短划线和下划线。 |
描述 |
输入最多包含 255 个字符的 VPN 描述。 |
路由拓扑 |
选择以下选项之一:
路由拓扑仅适用于基于路由的 VPN。 |
VPN 配置文件 |
根据部署方案从下拉列表中选择 VPN 配置文件。
您可以通过单击“创建 VPN”页面上的 “查看 VPN 配置文件设置 ”来查看和编辑 VPN 配置文件的详细信息。 |
身份验证方法 |
从列表中选择设备用于验证 IKE 消息源的身份验证方法。
|
网络 IP |
输入编号隧道接口的 IP 地址。 这是自动为隧道接口分配 IP 地址的子网地址。 |
最大传输单位 |
选择最大传输单位 (MTU)(以字节为单位)。 MTU 定义 IP 数据包的最大大小,包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节,默认值为 1500 字节。 |
预共享密钥 |
使用预共享密钥建立VPN连接,这本质上是双方相同的密码。预共享密钥通常用于单个组织内部或不同组织之间的站点到站点 IPsec VPN。 选择要使用的预共享密钥类型:
仅当身份验证方法基于预共享时,预共享密钥才适用。 |
设备 |
将设备添加为 VPN 中的端点。您最多可以添加两个设备。
注意:
不能添加多节点高可用性 (MNHA) 对。但是,您可以在 MNHA 对中添加一个或两个设备。 要在基于路由的 VPN 中添加设备,请执行以下操作:
|
设置 |
指引 |
---|---|
装置 |
选择一个设备。 |
外部接口 |
选择 IKE 安全关联 (SA) 的传出接口。 |
隧道区 |
选择隧道区域。 隧道区域是地址空间的逻辑区域,可支持动态 IP (DIP) 地址池,以便 NAT 应用程序预先和后期封装 IPsec 流量。隧道区域还提供了将隧道接口与 VPN 隧道组合在一起的灵活性。 隧道区域仅适用于基于路由的站点到站点 VPN。 |
路由实例 |
选择所需的路由实例。 路由实例仅适用于基于路由的站点到站点 VPN。 |
发起方/接收方 |
选择以下选项之一:
当 VPN 配置文件为主动模式配置文件时,此选项适用。 |
证书 |
选择一个证书来对 VPN 发起方和接收方进行身份验证。 身份验证证书适用于以下方案之一:
|
受信任的 CA/组 |
从列表中选择 CA 配置文件以将其与本地证书关联。 CA 配置文件适用于以下方案之一:
|
出口 |
选择要导出的路由类型。
如果选择 OSPF 或 RIP 导出,VPN 网络外部的 OSPF 或 RIP 路由将通过 OSPF 或 RIP 动态路由协议导入到 VPN 网络中。 |
OSPF 区域 |
选择介于 0 到 4,294,967,295 范围内的 OSPF 区域 ID,其中必须配置此 VPN 的隧道接口。 当基于路由的站点到站点 VPN 中的路由拓扑为 OSPF 动态路由时,OSPF 区域 ID 适用。 |
最大重传时间 |
选择重新传输计时器以限制 RIP 按需电路向无响应的对等方重新发送更新消息的次数。 如果达到配置的重新传输阈值,来自下一跳路由器的路由将被标记为无法访问,并启动抑制计时器。您必须配置一对 RIP 按需电路才能使此计时器生效。重传范围为 5 到 180 秒,默认值为 50 秒。 仅当基于路由的站点到站点 VPN 中的路由拓扑为 RIP 动态路由时,此选项才适用。 |
AS 编号 |
选择要分配给自治系统 (AS) 的唯一编号。 AS 编号标识自治系统,并使该系统能够与其他相邻自治系统交换外部路由信息。有效范围为 0 到 4294967294。 仅当基于路由的站点到站点 VPN 中的路由拓扑为 e-BGP 动态路由时,AS 编号才适用。 |
受保护的网络 |
配置所选设备的地址或接口类型,以保护网络的一个区域免受另一个区域的影响。 选择动态路由协议后,将显示接口选项。您还可以通过单击 + 号来创建地址。 此选项仅适用于基于路由的站点到站点 VPN。 |
设置 |
指引 |
---|---|
IKE 设置 |
|
身份验证方法 |
从列表中选择设备用于验证 IKE 消息源的身份验证方法。
|
IKE 版本 |
选择用于协商 IPsec 动态安全关联 (SA) 的所需 IKE 版本(V1 或 V2)。 默认情况下,使用 IKE V2。 |
模式 |
选择 IKE 策略模式。
当 IKE 版本为 V1 时,模式适用。 |
加密算法 |
选择适当的加密机制。 |
身份验证算法 |
选择一种算法。 设备使用此算法来验证数据包的真实性和完整性。 |
Deffie Hellman 集团 |
选择一个组。 Diffie-Hellman (DH) 组确定密钥交换过程中使用的密钥的强度。 |
生命周期秒数 |
选择 IKE 安全关联 (SA) 的生存期。 有效范围为 180 到 86400 秒。 |
失效对等体检测 |
启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。 |
DPD 模式 |
选择 DPD 模式。
|
DPD 间隔 |
选择发送失效对等方检测消息的间隔(以秒为单位)。 默认间隔为 10 秒,有效范围为 2 到 60 秒。 |
DPD 阈值 |
选择故障 DPD 阈值。 这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1 到 5。 |
高级设置 |
|
通用 IKE ID |
启用此选项可接受对等 IKE ID。 默认情况下,此选项处于禁用状态。如果启用了常规 IKE ID,则会自动禁用 IKE ID 选项。 |
IKEv2 重新认证 |
选择重新验证频率。 可以通过将重新身份验证频率设置为 0 来禁用重新身份验证。有效范围为 0 到 100。 |
IKEv2 re fragmentation support |
启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。 |
IKEv2 重新分段大小 |
选择对消息进行分段的数据包大小。 默认情况下,IPv4 的大小为 576 字节,有效范围为 570 到 1320 字节。 |
IKE ID |
选择以下选项之一:
IKE ID 仅在禁用常规 IKE ID 时适用。 |
NAT-T |
如果动态端点位于 NAT 设备后面,请启用网络地址转换遍历 (NAT-T)。 |
保持活力 |
选择一个时间段(以秒为单位)以保持连接处于活动状态。 在 VPN 对等方之间的连接期间,需要 NAT 激活来维护 NAT 转换。有效范围为 1 到 300 秒。 |
IPSec 设置 |
|
协议 |
选择建立 VPN 所需的协议。
|
加密算法 |
选择加密方法。 如果协议是 ESP,则此选项适用。 |
身份验证算法 |
选择一种算法。 设备使用这些算法来验证数据包的真实性和完整性。 |
完全向前保密 |
选择“完全向前保密 (PFS)”作为设备用于生成加密密钥的方法。 PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。 |
建立隧道 |
选择一个选项以指定何时激活 IKE。
|
高级设置 |
|
VPN 监视器 |
启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已启动。 |
优化 |
启用此选项可优化 VPN 监控,并将 SRX 系列防火墙配置为仅当有传出流量且没有来自配置对等方的传入流量通过 VPN 隧道时,才发送 ICMP 回显请求(也称为 ping)。 如果有传入流量通过 VPN 隧道,SRX 系列防火墙会认为该隧道处于活动状态,不会向对等方发送 ping。 |
防重放 |
为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。 IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查,而不仅仅是忽略序列号。 如果 IPsec 机制出错,导致数据包无序,从而阻止正常运行,请禁用此选项。 默认情况下,防重放检测处于启用状态。 |
安装间隔 |
选择允许在设备上安装重新生成密钥的出站安全关联 (SA) 的最大秒数。 |
空闲时间 |
选择适当的空闲时间间隔。 如果未收到流量,会话及其相应的转换通常会在一段时间后超时。 |
DF 位 |
选择一个选项以处理 IP 消息中的不分段 (DF) 位。
|
复制外部 DSCP |
启用此选项可允许将差异服务代码点 (DSCP) 字段从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。 启用此选项的好处是,在 IPsec 解密之后,明文数据包可以遵循内部服务等级 (CoS) 规则。 |
生命周期秒数 |
选择 IKE 安全关联 (SA) 的生存期(以秒为单位)。 有效范围为 180 到 86,400 秒。 |
生命周期千字节 |
选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。 范围为 64 到 4294967294 KB。 |