Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建基于路由的站点到站点 VPN

站点到站点 VPN 允许组织中两个站点之间的安全通信。

开始之前

  1. 选择 SRX,> IPsec VPN > IPsec VPN

    此时将打开 IPsec VPN 页面。

  2. 单击“创建>站点到站点”。

    此时将打开“创建站点到站点 VPN”页面。

  3. 根据表 1 中提供的指南完成 VPN 配置参数。
    注意:

    单击 查看 VPN 配置文件设置 以查看或编辑 VPN 配置文件。如果 VPN 配置文件是内联的,则可以编辑配置。如果配置文件已共享,则只能查看配置。

    拓扑中的 VPN 连接从灰线变为蓝线,表示配置已完成。

  4. 单击 保存 以保存 IPsec VPN 配置。
表 1:创建站点到站点 VPN 页面设置

设置

指引

常规

名字

输入最多 63 个字母数字字符(不含空格)的唯一字符串。

字符串可以包含冒号、句点、短划线和下划线。

描述

输入最多包含 255 个字符的 VPN 描述。

路由拓扑

选择以下选项之一:

  • 流量选择器(自动路由插入)— 流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程地址对匹配,则允许流量通过隧道。

  • 静态路由 - 根据每台设备的受保护网络或区域生成静态路由。

  • OSPF 动态路由 — 生成 OSPF 配置。

  • RIP 动态路由 — 生成 RIP 配置。

  • eBGP 动态路由 — 生成 eBGP 配置。

路由拓扑仅适用于基于路由的 VPN。

VPN 配置文件

根据部署方案从下拉列表中选择 VPN 配置文件。

  • 内联配置文件仅适用于特定的 IPsec VPN。

  • 主模式配置文件是具有标准建议集的预定义主模式配置文件。

  • 积极模式配置文件是预定义的聚合模式配置文件,设置了标准建议。

  • RSAProfile 是基于证书的身份验证 (RSA 签名) 的预定义配置文件,其中可分辨名称 (DN) 为 IKE ID 类型。

  • ADVPNProfile 是 ADVPN 的预定义配置文件。

您可以通过单击“创建 VPN”页面上的 “查看 VPN 配置文件设置 ”来查看和编辑 VPN 配置文件的详细信息。

身份验证方法

从列表中选择设备用于验证 IKE 消息源的身份验证方法。

  • 基于预共享 — 指定在身份验证期间使用预共享密钥(即两个对等方之间共享的私有密钥)来相互标识对等方。必须为每个对等方配置相同的密钥。

  • RSA 签名 — 指定使用支持加密和数字签名的公钥算法。

  • DSA 签名 - 指定使用数字签名算法 (DSA)。

  • ECDSA-Signatures-256 - 指定使用联邦信息处理标准 (FIPS) 数字签名标准 (DSS) 186-3 中指定的使用 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA (ECDSA)。

  • ECDSA-Signatures-384 — 指定使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。

网络 IP

输入编号隧道接口的 IP 地址。

这是自动为隧道接口分配 IP 地址的子网地址。

最大传输单位

选择最大传输单位 (MTU)(以字节为单位)。

MTU 定义 IP 数据包的最大大小,包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节,默认值为 1500 字节。

预共享密钥

使用预共享密钥建立VPN连接,这本质上是双方相同的密码。预共享密钥通常用于单个组织内部或不同组织之间的站点到站点 IPsec VPN。

选择要使用的预共享密钥类型:

  • 自动生成 — 选择是否要为每个隧道自动生成唯一密钥。

  • 手动 - 选择以手动输入密钥。默认情况下,手动密钥是屏蔽的。

仅当身份验证方法基于预共享时,预共享密钥才适用。

设备

将设备添加为 VPN 中的端点。您最多可以添加两个设备。

注意:

不能添加多节点高可用性 (MNHA) 对。但是,您可以在 MNHA 对中添加一个或两个设备。

要在基于路由的 VPN 中添加设备,请执行以下操作:

  1. 单击 添加,然后单击以下选项之一:“ 设备 ”或 “外部网设备”。

    此时将打开“添加设备”页面。

  2. 按照表2配置设备参数
  3. 单击“确定”。
表 2:添加设备页面设置

设置

指引

装置

选择一个设备。

外部接口

选择 IKE 安全关联 (SA) 的传出接口。

隧道区

选择隧道区域。

隧道区域是地址空间的逻辑区域,可支持动态 IP (DIP) 地址池,以便 NAT 应用程序预先和后期封装 IPsec 流量。隧道区域还提供了将隧道接口与 VPN 隧道组合在一起的灵活性。

隧道区域仅适用于基于路由的站点到站点 VPN。

路由实例

选择所需的路由实例。

路由实例仅适用于基于路由的站点到站点 VPN。

发起方/接收方

选择以下选项之一:

  • 引发

  • 收件人

当 VPN 配置文件为主动模式配置文件时,此选项适用。

证书

选择一个证书来对 VPN 发起方和接收方进行身份验证。

身份验证证书适用于以下方案之一:

  • VPN 配置文件是 RSA 配置文件或 ADVPN 配置文件。

  • 身份验证方法是 RSA 签名、DSA 签名、ECDSA-签名-256 或 ECDSA-签名-384。

受信任的 CA/组

从列表中选择 CA 配置文件以将其与本地证书关联。

CA 配置文件适用于以下方案之一:

  • VPN 配置文件是具有任何签名类型的 RSA 配置文件、ADVPN 配置文件或默认配置文件。

  • 身份验证方法是 RSA 签名、DSA 签名、ECDSA-签名-256 或 ECDSA-签名-384。

出口

选择要导出的路由类型。

  • 选中 静态路由 复选框以导出静态路由。

    瞻博网络 Security Director Cloud 使管理员能够通过隧道将静态路由导出到远程站点,从而简化 VPN 地址管理,从而允许静态路由网络参与 VPN。

    对于 eBGP 动态路由,默认情况下选中静态路由复选框。

  • 选中 RIP 路由 复选框以导出 RIP 路由。

    仅当路由拓扑为 OSPF 动态路由时,才能导出 RIP 路由。

  • 选中 OSPF 路由 复选框以导出 OSPF 路由。

    仅当路由拓扑为 RIP 动态路由时,才能导出 OSPF 路由。

如果选择 OSPF 或 RIP 导出,VPN 网络外部的 OSPF 或 RIP 路由将通过 OSPF 或 RIP 动态路由协议导入到 VPN 网络中。

OSPF 区域

选择介于 0 到 4,294,967,295 范围内的 OSPF 区域 ID,其中必须配置此 VPN 的隧道接口。

当基于路由的站点到站点 VPN 中的路由拓扑为 OSPF 动态路由时,OSPF 区域 ID 适用。

最大重传时间

选择重新传输计时器以限制 RIP 按需电路向无响应的对等方重新发送更新消息的次数。

如果达到配置的重新传输阈值,来自下一跳路由器的路由将被标记为无法访问,并启动抑制计时器。您必须配置一对 RIP 按需电路才能使此计时器生效。重传范围为 5 到 180 秒,默认值为 50 秒。

仅当基于路由的站点到站点 VPN 中的路由拓扑为 RIP 动态路由时,此选项才适用。

AS 编号

选择要分配给自治系统 (AS) 的唯一编号。

AS 编号标识自治系统,并使该系统能够与其他相邻自治系统交换外部路由信息。有效范围为 0 到 4294967294。

仅当基于路由的站点到站点 VPN 中的路由拓扑为 e-BGP 动态路由时,AS 编号才适用。

受保护的网络

配置所选设备的地址或接口类型,以保护网络的一个区域免受另一个区域的影响。

选择动态路由协议后,将显示接口选项。您还可以通过单击 + 号来创建地址。

此选项仅适用于基于路由的站点到站点 VPN。

表 3:IKE 和 IPsec 设置

设置

指引

IKE 设置

身份验证方法

从列表中选择设备用于验证 IKE 消息源的身份验证方法。

  • 基于预共享 — 指定在身份验证期间使用预共享密钥(即两个对等方之间共享的私有密钥)来相互标识对等方。必须为每个对等方配置相同的密钥。

  • RSA 签名 — 指定使用支持加密和数字签名的公钥算法。

  • DSA 签名 - 指定使用数字签名算法 (DSA)。

  • ECDSA-Signatures-256 - 指定使用联邦信息处理标准 (FIPS) 数字签名标准 (DSS) 186-3 中指定的使用 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA (ECDSA)。

  • ECDSA-Signatures-384 — 指定使用 FIPS DSS 186-3 中指定的 384 位椭圆曲线 secp384r1 的 ECDSA。

IKE 版本

选择用于协商 IPsec 动态安全关联 (SA) 的所需 IKE 版本(V1 或 V2)。

默认情况下,使用 IKE V2。

模式

选择 IKE 策略模式。

  • 主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。此模式提供标识保护。

  • 主动 - 占用主模式一半的消息数,协商能力较低,并且不提供身份保护。

当 IKE 版本为 V1 时,模式适用。

加密算法

选择适当的加密机制。

身份验证算法

选择一种算法。

设备使用此算法来验证数据包的真实性和完整性。

Deffie Hellman 集团

选择一个组。

Diffie-Hellman (DH) 组确定密钥交换过程中使用的密钥的强度。

生命周期秒数

选择 IKE 安全关联 (SA) 的生存期。

有效范围为 180 到 86400 秒。

失效对等体检测

启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。

DPD 模式

选择 DPD 模式。

  • 优化:在设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

  • 探测空闲隧道:如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

  • 始终发送:无论对等方之间的流量活动如何,都会按配置的时间间隔发送 R-U-THERE 消息。

DPD 间隔

选择发送失效对等方检测消息的间隔(以秒为单位)。

默认间隔为 10 秒,有效范围为 2 到 60 秒。

DPD 阈值

选择故障 DPD 阈值。

这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1 到 5。

高级设置

通用 IKE ID

启用此选项可接受对等 IKE ID。

默认情况下,此选项处于禁用状态。如果启用了常规 IKE ID,则会自动禁用 IKE ID 选项。

IKEv2 重新认证

选择重新验证频率。

可以通过将重新身份验证频率设置为 0 来禁用重新身份验证。有效范围为 0 到 100。

IKEv2 re fragmentation support

启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。

IKEv2 重新分段大小

选择对消息进行分段的数据包大小。

默认情况下,IPv4 的大小为 576 字节,有效范围为 570 到 1320 字节。

IKE ID

选择以下选项之一:

  • 没有

  • 可分辨名称

  • 主机名

  • IPv4 地址

  • 电子邮件地址

IKE ID 仅在禁用常规 IKE ID 时适用。

NAT-T

如果动态端点位于 NAT 设备后面,请启用网络地址转换遍历 (NAT-T)。

保持活力

选择一个时间段(以秒为单位)以保持连接处于活动状态。

在 VPN 对等方之间的连接期间,需要 NAT 激活来维护 NAT 转换。有效范围为 1 到 300 秒。

IPSec 设置

协议

选择建立 VPN 所需的协议。

  • ESP — 封装安全有效负载 (ESP) 协议同时提供加密和身份验证。

  • AH — 认证头 (AH) 协议提供数据完整性和数据身份验证。

加密算法

选择加密方法。

如果协议是 ESP,则此选项适用。

身份验证算法

选择一种算法。

设备使用这些算法来验证数据包的真实性和完整性。

完全向前保密

选择“完全向前保密 (PFS)”作为设备用于生成加密密钥的方法。

PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。

建立隧道

选择一个选项以指定何时激活 IKE。

  • 立即 — 提交 VPN 配置更改后立即激活 IKE。

  • 开机流量 — IKE 仅在数据流量流动时激活,并且必须与对等网关协商。这是默认行为。

高级设置

VPN 监视器

启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已启动。

优化

启用此选项可优化 VPN 监控,并将 SRX 系列防火墙配置为仅当有传出流量且没有来自配置对等方的传入流量通过 VPN 隧道时,才发送 ICMP 回显请求(也称为 ping)。

如果有传入流量通过 VPN 隧道,SRX 系列防火墙会认为该隧道处于活动状态,不会向对等方发送 ping。

防重放

为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。

IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查,而不仅仅是忽略序列号。

如果 IPsec 机制出错,导致数据包无序,从而阻止正常运行,请禁用此选项。

默认情况下,防重放检测处于启用状态。

安装间隔

选择允许在设备上安装重新生成密钥的出站安全关联 (SA) 的最大秒数。

空闲时间

选择适当的空闲时间间隔。

如果未收到流量,会话及其相应的转换通常会在一段时间后超时。

DF 位

选择一个选项以处理 IP 消息中的不分段 (DF) 位。

  • 清除 — 禁用 IP 消息中的 DF 位。这是默认选项。

  • 复制 — 将 DF 位复制到 IP 消息。

  • 设置 — 启用 IP 消息中的 DF 位。

复制外部 DSCP

启用此选项可允许将差异服务代码点 (DSCP) 字段从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。

启用此选项的好处是,在 IPsec 解密之后,明文数据包可以遵循内部服务等级 (CoS) 规则。

生命周期秒数

选择 IKE 安全关联 (SA) 的生存期(以秒为单位)。

有效范围为 180 到 86,400 秒。

生命周期千字节

选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。

范围为 64 到 4294967294 KB。