Verwenden von IPsec mit einem Layer-3-VPN
Einige wichtige Konzepte, die Sie bei der Konfiguration von IPsec in einem VPN beachten sollten, sind die folgenden:
Fügen Sie der Routinginstanz die Schnittstelle für interne Dienste für einen Servicesatz im Next-Hop-Stil hinzu, indem Sie die
interface sp-fpc/pic/portAnweisung auf Hierarchieebene[edit routing-instances instance-name]einschließen.Fügen Sie für Servicesets im Schnittstellenstil die Schnittstelle, auf die Sie die Servicegruppe anwenden, und die Serviceschnittstelle hinzu, indem Sie beide Schnittstellen auf der Hierarchieebene
[edit routing-instances instance-name]einschließen.Um eine Routing-Instanz für das lokale Gateway innerhalb des Service-Sets zu definieren, schließen Sie die Option routing-instance instance-name auf Hierarchieebene
[edit services service-set service-set-name ipsec-vpn-options local-gateway address]ein.
Die folgende Konfiguration für einen AS PIC auf einem Provider Edge (PE)-Router veranschaulicht die Verwendung von Next-Hop-Service-Sets mit einer dynamischen IKE-SA in einer VPN-Routing- und Weiterleitungs-Routinginstanz (VRF).
[edit]
interfaces {
so-0/0/0 {
description "Interface connected to the customer edge (CE) router";
unit 0 {
family inet {
address 10.6.6.6/32;
}
}
}
so-2/2/0 {
description "Source IPsec tunnel interface to the network core";
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
sp-3/1/0 {
description "AS PIC interface";
unit 0 {
family inet {
address 10.7.7.7/32;
}
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
}
policy-options {
policy-statement vpn-export-policy {
then {
community add community-name;
accept;
}
}
policy-statement vpn-import-policy {
term term-name {
from community community-name;
then accept;
}
}
community community-name members target:100:20;
}
routing-instances {
vrf {
instance-type vrf;
interface sp-3/1/0.1; # Inside sp interface.
interface so-0/0/0.0; # Interface that connects to the CE router.
route-distinguisher route-distinguisher;
vrf-import vpn-import-policy;
vrf-export vpn-export-policy;
routing-options {
static {
route ip-address/prefix next-hop so-0/0/0.0; # Routes for the CE router.
route ip-address/prefix next-hop sp-3/1/0.1; # Routes for IPsec.
}
}
}
}
services {
service-set service-set-name {
next-hop-service {
inside-service-interface sp-3/1/0.1;
outside-service-interface sp-3/1/0.2;
}
ipsec-vpn-options {
local-gateway 10.10.1.1;
}
ipsec-vpn-rules rule-name;
}
ipsec-vpn {
rule rule-name {
term term-name {
from {
source-address {
source-ip-address;
}
}
then {
remote-gateway 10.10.1.2;
dynamic {
ike-policy ike-policy-name;
}
}
}
match-direction direction;
}
ike {
policy ike-policy-name {
pre-shared-key ascii-text preshared-key;
}
}
}
}
Weitere Informationen zu VRF-Routing-Instanzen finden Sie im Konfigurationshandbuch für Junos-VPNs. Weitere Informationen zu Servicesätzen für den nächsten Hop finden Sie im Konfigurationshandbuch für Junos Services Interfaces.