Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Двойные туннели стека через внешний интерфейс

Туннели с двумя стеками — параллельные туннели IPv4 и IPv6 через единый физический интерфейс к одноранговой сети – поддерживаются для VPN, основанных на маршруте-месту назначения. Физический интерфейс, настроенный с адресами IPv4 и IPv6, может использоваться одновременно как внешний интерфейс для шлюзов IPv4 и IPv6 на одном или на разных узлах.

Понимание режимов VPN-туннелей

В туннельном режиме VPN IPsec инкапсулирует исходную IP-дейтаграмму, включая исходный IP-задек, в течение второй IP-дейтаграммы. Внешний IP-замессер содержит IP-адрес шлюза, в то время как внутренний загот содержит конечный и исходный IP-адреса. Внешние и внутренние IP-заглавные поля могут иметь поле протокола IPv4 или IPv6. серия SRX поддерживают четыре туннельных режима для VPN, основанных на месте-месте.

Туннели IPv4-in-IPv4 инкапсулируют пакеты IPv4 в пакеты IPv4, как показано Рис. 1 в. Поля протокола для внешнего и внутреннего заглавных полей – IPv4.

Рис. 1: Туннель IPv4 в IPv4Туннель IPv4 в IPv4

Туннели IPv6-in-IPv6 инкапсулируют пакеты IPv6 в пакеты IPv6, как показано Рис. 2 в. Поля протокола для внешнего и внутреннего заглавных полей – IPv6.

Рис. 2: Туннель IPv6 в IPv6Туннель IPv6 в IPv6

Туннели IPv6-in-IPv4 инкапсулируют пакеты IPv6 в пакеты IPv4, как показано Рис. 3 в. Поле протокола для внешнего заглавного поля – IPv4, а поле протокола для внутреннего загона – IPv6.

Рис. 3: Туннель IPv6 in-IPv4Туннель IPv6 in-IPv4

Туннели IPv4-in-IPv6 инкапсулируют пакеты IPv4 в пакеты IPv6, как показано Рис. 4 в. Поле протокола для внешнего заглавного поля – IPv6, а поле протокола для внутреннего заглавного поля – IPv4.

Рис. 4: Туннель IPv4 в IPv6Туннель IPv4 в IPv6

Один VPN-туннель IPsec может переносить трафик IPv4 и IPv6. Например, туннель IPv4 может работать одновременно в туннельном режиме IPv4-in-IPv4 и IPv6-in-IPv4. Чтобы разрешить трафик IPv4 и IPv6 через один VPN-туннель IPsec, интерфейс st0, привязанный к этому туннелю, должен быть настроен как с, family inet так и family inet6 с.

Физический интерфейс, настроенный с использованием ip-адресов IPv4 и IPv6, может использоваться в качестве внешнего интерфейса для параллельных туннелей IPv4 и IPv6 для одноранговых устройств в сети VPN на основе маршрутов. Эта функция известна как туннели с двумя стеками и требует отдельные интерфейсы st0 для каждого туннеля.

Для VPN на основе политик режим IPv6 in-IPv6 поддерживается только на SRX300, SRX320, SRX340, SRX345 и SRX550HM устройства.

Понимание туннелей с двумя стеками через внешний интерфейс

Туннели с двумя стеками — параллельные туннели IPv4 и IPv6 через единый физический интерфейс к одноранговой сети – поддерживаются для VPN, основанных на маршруте-месту назначения. Физический интерфейс, настроенный с адресами IPv4 и IPv6, может использоваться одновременно как внешний интерфейс для шлюзов IPv4 и IPv6 на одном или на разных узлах. In, физические Рис. 5 интерфейсы reth0.0 и ge-0/0/0.1 поддерживают параллельные туннели IPv4 и IPv6 между двумя устройствами.

Рис. 5: Туннели с двумя стекамиТуннели с двумя стеками

В каждом туннеле IPsec VPN необходимо настроить отдельный безопасный Рис. 5 туннель (st0). Параллельные туннели IPv4 и IPv6, связанные с одинаковым интерфейсом st0, не поддерживаются.

Один VPN-туннель IPsec может переносить трафик IPv4 и IPv6. Например, туннель IPv4 может работать одновременно в туннельном режиме IPv4-in-IPv4 и IPv6-in-IPv4. Чтобы разрешить трафик IPv4 и IPv6 через один VPN-туннель IPsec, интерфейс st0, привязанный к этому туннелю, должен быть настроен как с, family inet так и family inet6 с.

Если несколько адресов из одного семейства адресов настроены на одном внешнем интерфейсе для равноправного узла VPN, рекомендуется настроить на уровне local-addressedit security ike gateway gateway-name [] иерархии.

При local-address настройке указанный адрес IPv4 или IPv6 используется в качестве адреса локального шлюза. Если только один адрес IPv4 и один адрес IPv6 настроены на внешнем физическом интерфейсе, local-address настройка не требуется.

Это local-address значение должно быть IP-адресом, настроенным на интерфейсе устройства серия SRX. Рекомендуется local-address принадлежать внешнему интерфейсу IKE шлюза. Если он не принадлежит внешнему интерфейсу IKE шлюза, он должен быть в той же зоне, что и внешний интерфейс шлюза IKE, и для разрешения трафика должна быть настроена политика безопасности local-address внутризоны.

Значение и адрес удаленного IKE шлюза должны быть в одном семейии адресов local-address : IPv4 или IPv6.

Если local-address адрес локального шлюза не настроен, он основан на адресе удаленного шлюза. Если адресом удаленного шлюза является адрес IPv4, то адрес локального шлюза является основным адресом IPv4 внешнего физического интерфейса. Если адрес удаленного шлюза является адресом IPv6, адрес локального шлюза является основным адресом IPv6 внешнего физического интерфейса.

Примере: Настройка туннелей с двумя стеками через внешний интерфейс

В данном примере показано, как настраивать параллельные туннели IPv4 и IPv6 через один внешний физический интерфейс к одноранговому узелу для VPN, основанных на месте и на объекте.

Требования

Перед началом работы прочитайте "Понимание туннельных режимов VPN".

Конфигурация, показанная в этом примере, поддерживается только VPN, основанные на маршруте-месту.

Обзор

В данном примере избыточный интерфейс Ethernet локального устройства поддерживает параллельные туннели IPv4 и IPv6 к одноранговой сети:

  • Туннель IPv4 содержит трафик IPv6; работает в туннельном режиме IPv6 in-IPv4. Защищенный туннельный интерфейс st0.0, привязанный к туннелю IPv4, настраивается только для семейства inet6.

  • Туннель IPv6 содержит трафик IPv4 и IPv6; он работает в туннельных режимах IPv4-in-IPv6 и IPv6-in-IPv6. Безопасный туннельный интерфейс st0.1, привязанный к туннелю IPv6, настроен как для семейства inet, так и для семейства inet6.

Табл. 1 отображает параметры фазы 1, используемые в этом примере. Конфигурация параметра Фазы 1 включает две конфигурации IKE шлюза: одну для одноранговой стороны IPv6 и другую для узла IPv4.

Табл. 1: Параметры фазы 1 для конфигурации двойного стека туннеля

Параметр

Значение

IKE с предложением

ike_proposal

Метод аутентификации

Предварительные ключи

Алгоритм аутентификации

MD5

Алгоритм шифрования

3DES CBC

Жизни

3600 секунд

IKE политики

ike_policy

Режим

Агрессивный

IKE с предложением

ike_proposal

Предварительный ключ

Текст ASCII

шлюз IKE IPv6

ike_gw_v6

IKE политики

ike_policy

Адрес шлюза

2000::2

Внешний интерфейс

reth1.0

IKE версии

IKEv2

шлюз IKE IPv4

ike_gw_v4

IKE политики

ike_policy

Адрес шлюза

20.0.0.2

Внешний интерфейс

reth1.0

Табл. 2 отображает параметры фазы 2, используемые в этом примере. Конфигурация параметра Фазы 2 включает две конфигурации VPN: одну для туннеля IPv6 и другую для туннеля IPv4.

Табл. 2: Параметры фазы 2 для конфигурации двойного стека туннеля

Параметр

Значение

Предложение IPsec

ipsec_proposal

Протокол

Esp

Алгоритм аутентификации

HMAC SHA-1 96

Алгоритм шифрования

3DES CBC

Политика IPsec

ipsec_policy

Предложение

ipsec_proposal

IPv6 VPN

test_s2s_v6

Интерфейс привязки

st0.1

IKE шлюз

ike_gw_v6

IKE IPsec

ipsec_policy

создание туннелей

Сразу

IPv4 VPN

test_s2s_v4

Интерфейс привязки

st0.0

IKE шлюз

ike_gw_4

IKE IPsec

ipsec_policy

В таблице маршрутов IPv6 настраиваются следующие статические маршруты:

  • Нанося трафик IPv6 на 3000:1/128 через st0.0.

  • На маршрутизаторе IPv6 трафик 3000:2/128 через st0.1.

Статический маршрут настраивается в таблице маршрутов по умолчанию (IPv4) на маршрут трафика IPv4 к 30.0.0.0/24 через st0.1.

Обработка трафика IPv6 на основе потока должна быть включена с помощью параметра конфигурации на mode flow-based уровне edit security forwarding-options family inet6 [] иерархии.

Топологии

In, устройство серия SRX A поддерживает туннели IPv4 и IPv6 к устройству B. Трафик Рис. 6 IPv6 к 3000:1/128 маршрутется через туннель IPv4, в то время как трафик IPv6 на 3000:2/128 и трафик IPv4 к 30.0.0.0/24 пронанося через туннель IPv6.

Рис. 6: Пример с двойным стеком туннеляПример с двойным стеком туннеля

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки туннелей с двумя стеками:

  1. Настройте внешний интерфейс.

  2. Настройте защищенные туннельные интерфейсы.

  3. Настройте параметры фазы 1.

  4. Настройте параметры фазы 2.

  5. Настройте статические маршруты.

  6. В включается переадваровка на основе потока IPv6.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow security ike команд и show security ipsecshow routing-optionsshow security forwarding-options команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE 1.

Действий

В рабочем режиме введите show security ike security-associations команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE фазе 1. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 1. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. Параметры предложения фазы 1 должны соответствовать параметрам на одноранговых устройствах.

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние фазы 2 IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду.

Смысл

Команда show security ipsec security-associations перечисляет все активные IKE фазы 2. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 2. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. Параметры предложения фазы 2 должны совпадать на одноранговых устройствах.

Проверка маршрутов

Цель

Проверка активных маршрутов.

Действий

В рабочем режиме введите show route команду.

Смысл

Команда show route перечисляет активные записи в таблицах маршрутов.