Двойные туннели стека через внешний интерфейс
Туннели с двумя стеками — параллельные туннели IPv4 и IPv6 через единый физический интерфейс к одноранговой сети – поддерживаются для VPN, основанных на маршруте-месту назначения. Физический интерфейс, настроенный с адресами IPv4 и IPv6, может использоваться одновременно как внешний интерфейс для шлюзов IPv4 и IPv6 на одном или на разных узлах.
Понимание режимов VPN-туннелей
В туннельном режиме VPN IPsec инкапсулирует исходную IP-дейтаграмму, включая исходный IP-задек, в течение второй IP-дейтаграммы. Внешний IP-замессер содержит IP-адрес шлюза, в то время как внутренний загот содержит конечный и исходный IP-адреса. Внешние и внутренние IP-заглавные поля могут иметь поле протокола IPv4 или IPv6. серия SRX поддерживают четыре туннельных режима для VPN, основанных на месте-месте.
Туннели IPv4-in-IPv4 инкапсулируют пакеты IPv4 в пакеты IPv4, как показано Рис. 1 в. Поля протокола для внешнего и внутреннего заглавных полей – IPv4.
Туннели IPv6-in-IPv6 инкапсулируют пакеты IPv6 в пакеты IPv6, как показано Рис. 2 в. Поля протокола для внешнего и внутреннего заглавных полей – IPv6.
Туннели IPv6-in-IPv4 инкапсулируют пакеты IPv6 в пакеты IPv4, как показано Рис. 3 в. Поле протокола для внешнего заглавного поля – IPv4, а поле протокола для внутреннего загона – IPv6.
Туннели IPv4-in-IPv6 инкапсулируют пакеты IPv4 в пакеты IPv6, как показано Рис. 4 в. Поле протокола для внешнего заглавного поля – IPv6, а поле протокола для внутреннего заглавного поля – IPv4.
Один VPN-туннель IPsec может переносить трафик IPv4 и IPv6. Например, туннель IPv4 может работать одновременно в туннельном режиме IPv4-in-IPv4 и IPv6-in-IPv4. Чтобы разрешить трафик IPv4 и IPv6 через один VPN-туннель IPsec, интерфейс st0, привязанный к этому туннелю, должен быть настроен как с, family inet так и family inet6 с.
Физический интерфейс, настроенный с использованием ip-адресов IPv4 и IPv6, может использоваться в качестве внешнего интерфейса для параллельных туннелей IPv4 и IPv6 для одноранговых устройств в сети VPN на основе маршрутов. Эта функция известна как туннели с двумя стеками и требует отдельные интерфейсы st0 для каждого туннеля.
Для VPN на основе политик режим IPv6 in-IPv6 поддерживается только на SRX300, SRX320, SRX340, SRX345 и SRX550HM устройства.
Понимание туннелей с двумя стеками через внешний интерфейс
Туннели с двумя стеками — параллельные туннели IPv4 и IPv6 через единый физический интерфейс к одноранговой сети – поддерживаются для VPN, основанных на маршруте-месту назначения. Физический интерфейс, настроенный с адресами IPv4 и IPv6, может использоваться одновременно как внешний интерфейс для шлюзов IPv4 и IPv6 на одном или на разных узлах. In, физические Рис. 5 интерфейсы reth0.0 и ge-0/0/0.1 поддерживают параллельные туннели IPv4 и IPv6 между двумя устройствами.
В каждом туннеле IPsec VPN необходимо настроить отдельный безопасный Рис. 5 туннель (st0). Параллельные туннели IPv4 и IPv6, связанные с одинаковым интерфейсом st0, не поддерживаются.
Один VPN-туннель IPsec может переносить трафик IPv4 и IPv6. Например, туннель IPv4 может работать одновременно в туннельном режиме IPv4-in-IPv4 и IPv6-in-IPv4. Чтобы разрешить трафик IPv4 и IPv6 через один VPN-туннель IPsec, интерфейс st0, привязанный к этому туннелю, должен быть настроен как с, family inet так и family inet6 с.
Если несколько адресов из одного семейства адресов настроены на одном внешнем интерфейсе для равноправного узла VPN, рекомендуется настроить на уровне local-addressedit security ike gateway gateway-name [] иерархии.
При local-address настройке указанный адрес IPv4 или IPv6 используется в качестве адреса локального шлюза. Если только один адрес IPv4 и один адрес IPv6 настроены на внешнем физическом интерфейсе, local-address настройка не требуется.
Это local-address значение должно быть IP-адресом, настроенным на интерфейсе устройства серия SRX. Рекомендуется local-address принадлежать внешнему интерфейсу IKE шлюза. Если он не принадлежит внешнему интерфейсу IKE шлюза, он должен быть в той же зоне, что и внешний интерфейс шлюза IKE, и для разрешения трафика должна быть настроена политика безопасности local-address внутризоны.
Значение и адрес удаленного IKE шлюза должны быть в одном семейии адресов local-address : IPv4 или IPv6.
Если local-address адрес локального шлюза не настроен, он основан на адресе удаленного шлюза. Если адресом удаленного шлюза является адрес IPv4, то адрес локального шлюза является основным адресом IPv4 внешнего физического интерфейса. Если адрес удаленного шлюза является адресом IPv6, адрес локального шлюза является основным адресом IPv6 внешнего физического интерфейса.
См. также
Примере: Настройка туннелей с двумя стеками через внешний интерфейс
В данном примере показано, как настраивать параллельные туннели IPv4 и IPv6 через один внешний физический интерфейс к одноранговому узелу для VPN, основанных на месте и на объекте.
Требования
Перед началом работы прочитайте "Понимание туннельных режимов VPN".
Конфигурация, показанная в этом примере, поддерживается только VPN, основанные на маршруте-месту.
Обзор
В данном примере избыточный интерфейс Ethernet локального устройства поддерживает параллельные туннели IPv4 и IPv6 к одноранговой сети:
Туннель IPv4 содержит трафик IPv6; работает в туннельном режиме IPv6 in-IPv4. Защищенный туннельный интерфейс st0.0, привязанный к туннелю IPv4, настраивается только для семейства inet6.
Туннель IPv6 содержит трафик IPv4 и IPv6; он работает в туннельных режимах IPv4-in-IPv6 и IPv6-in-IPv6. Безопасный туннельный интерфейс st0.1, привязанный к туннелю IPv6, настроен как для семейства inet, так и для семейства inet6.
Табл. 1 отображает параметры фазы 1, используемые в этом примере. Конфигурация параметра Фазы 1 включает две конфигурации IKE шлюза: одну для одноранговой стороны IPv6 и другую для узла IPv4.
Параметр |
Значение |
|---|---|
IKE с предложением |
ike_proposal |
Метод аутентификации |
Предварительные ключи |
Алгоритм аутентификации |
MD5 |
Алгоритм шифрования |
3DES CBC |
Жизни |
3600 секунд |
IKE политики |
ike_policy |
Режим |
Агрессивный |
IKE с предложением |
ike_proposal |
Предварительный ключ |
Текст ASCII |
шлюз IKE IPv6 |
ike_gw_v6 |
IKE политики |
ike_policy |
Адрес шлюза |
2000::2 |
Внешний интерфейс |
reth1.0 |
IKE версии |
IKEv2 |
шлюз IKE IPv4 |
ike_gw_v4 |
IKE политики |
ike_policy |
Адрес шлюза |
20.0.0.2 |
Внешний интерфейс |
reth1.0 |
Табл. 2 отображает параметры фазы 2, используемые в этом примере. Конфигурация параметра Фазы 2 включает две конфигурации VPN: одну для туннеля IPv6 и другую для туннеля IPv4.
Параметр |
Значение |
|---|---|
Предложение IPsec |
ipsec_proposal |
Протокол |
Esp |
Алгоритм аутентификации |
HMAC SHA-1 96 |
Алгоритм шифрования |
3DES CBC |
Политика IPsec |
ipsec_policy |
Предложение |
ipsec_proposal |
IPv6 VPN |
test_s2s_v6 |
Интерфейс привязки |
st0.1 |
IKE шлюз |
ike_gw_v6 |
IKE IPsec |
ipsec_policy |
создание туннелей |
Сразу |
IPv4 VPN |
test_s2s_v4 |
Интерфейс привязки |
st0.0 |
IKE шлюз |
ike_gw_4 |
IKE IPsec |
ipsec_policy |
В таблице маршрутов IPv6 настраиваются следующие статические маршруты:
Нанося трафик IPv6 на 3000:1/128 через st0.0.
На маршрутизаторе IPv6 трафик 3000:2/128 через st0.1.
Статический маршрут настраивается в таблице маршрутов по умолчанию (IPv4) на маршрут трафика IPv4 к 30.0.0.0/24 через st0.1.
Обработка трафика IPv6 на основе потока должна быть включена с помощью параметра конфигурации на mode flow-based уровне edit security forwarding-options family inet6 [] иерархии.
Топологии
In, устройство серия SRX A поддерживает туннели IPv4 и IPv6 к устройству B. Трафик Рис. 6 IPv6 к 3000:1/128 маршрутется через туннель IPv4, в то время как трафик IPv6 на 3000:2/128 и трафик IPv4 к 30.0.0.0/24 пронанося через туннель IPv6.
Конфигурации
Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.
Для настройки туннелей с двумя стеками:
Настройте внешний интерфейс.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Настройте защищенные туннельные интерфейсы.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Настройте параметры фазы 1.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Настройте параметры фазы 2.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Настройте статические маршруты.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
В включается переадваровка на основе потока IPv6.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow security ike команд и show security ipsecshow routing-optionsshow security forwarding-options команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
После настройки устройства войдите в commit режим конфигурации.
Проверки
Подтвердим, что конфигурация работает правильно.
Проверка состояния IKE 1-м этапе
Цель
Проверьте состояние IKE 1.
Действий
В рабочем режиме введите show security ike security-associations команду.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Смысл
Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. Параметры предложения фазы 1 должны соответствовать параметрам на одноранговых устройствах.
Проверка состояния фазы 2 IPsec
Цель
Проверьте состояние фазы 2 IPsec.
Действий
В рабочем режиме введите show security ipsec security-associations команду.
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Смысл
Команда show security ipsec security-associations перечисляет все активные IKE фазы 2. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 2. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. Параметры предложения фазы 2 должны совпадать на одноранговых устройствах.
Проверка маршрутов
Цель
Проверка активных маршрутов.
Действий
В рабочем режиме введите show route команду.
user@host> show route
inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Смысл
Команда show route перечисляет активные записи в таблицах маршрутов.