Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор IPsec VPN

VPN – частная сеть, в которую с помощью открытой сети соединяются два или более удаленных узлов. Вместо использования выделенных подключений между сетями VPN-сети используют виртуальные соединения, маршрутные (туннели) через общедоступные сети. VPN IPsec – это протокол, состоящий из набора стандартов, используемых для установления VPN-соединения.

VPN обеспечивает средства, с помощью которых удаленные компьютеры могут безопасно взаимодействовать через общедоступные сети WAN, например Интернет.

VPN-подключение может связывать две LAN (vpn между узлами) или удаленного пользователя удаленного доступа и ЛВС. Трафик, который идет между этими двумя точками, проходит через общие ресурсы, такие как маршрутизаторы, коммутаторы и другое сетевое оборудование, издавна сеть общего WAN. Чтобы обеспечить защищенную VPN-связь при прохождении через сеть WAN, два участника создают туннель IP Security (IPsec).

Термин туннель не обозначает туннельный режим (см. "Обработка пакетов в туннельном режиме"). Вместо этого это относится к подключению IPsec.

Topologies IPsec VPN на серия SRX устройства

Ниже приводится несколько тоологий IPsec VPN, которые Junos ос:

  • VPN-сети между узлами— соединяют два узла в организации и позволяют обеспечить надежную связь между узлами.

  • VPN-сети hub-and-spoke. Подключает филиалы филиалов к корпоративному офису в корпоративной сети. Эту топологию можно также использовать для соединения о концей, отправляя трафик через концентратор.

  • VPN удаленного доступа — пользователи, работающие дома или перемещаются, чтобы подключиться к корпоративному офису и его ресурсам. Эта топология иногда называется туннелем между узлами.

Сравнение VPN на основе политик и маршрутов

Важно понять различия между политиками и VPN на основе маршрутов, и почему один из них может быть предпочтительным для другого.

Табл. 1 перечисляет различия между VPN на основе маршрутов и VPN на основе политик.

Табл. 1: Различия между VPN на основе маршрутов и VPN на основе политик

VPN на основе маршрутов

VPN на основе политик

В VPN, основанных на маршруте, политика не ссылается на VPN-туннель.

При туннеле VPN на основе политик туннель рассматривается как объект, который вместе с источником, назначением, приложением и действием создает политику туннеля, которая разрешает VPN-трафик.

Политика ссылается на адрес назначения.

В конфигурации VPN на основе политик политика туннеля специально ссылается на VPN-туннель по имени.

Количество туннелей VPN на основе маршрутов ограничено числом записей маршрутов или количеством интерфейсов st0, поддерживаемого устройством, которое меньше.

Количество туннелей VPN на основе политик, которое можно создать, ограничено числом политик, поддерживаемого устройством.

Конфигурация vpn-туннеля на основе маршрутов является хорошим выбором, если необходимо сохранять ресурсы туннеля при установке гранулярных ограничений на трафик VPN.

При построении VPN на основе политик, хотя можно создать несколько политик туннеля, ссылающихся на один и тот же VPN-туннель, каждая пара политик туннеля создает отдельное соединение безопасности IPsec (SA) с удаленным одноранговой стороной. Каждая SA считается отдельным VPN-туннелем.

Благодаря подходу к VPN на основе маршрутов регулирование трафика не совмеется со средствами его доставки. Можно настроить десятки политик для управления трафиком, который проходит через один VPN-туннель между двумя сайтами, и работает только одна SA IPsec. Кроме того, конфигурация VPN на основе маршрутов позволяет создавать политики, ссылаясь на назначение, достигаемого через туннель VPN, в котором действие отвергается.

В конфигурации VPN на основе политик необходимо разрешить действие, включив в себя туннель.

VPN,основанные на маршруте, поддерживают обмен информацией о динамической маршрутке через VPN-туннели. На интерфейсе st0, связанном с VPN-туннелем, можно включить экземпляр протокола динамической маршрутки, OSPF, например, st0.

Обмен сведениями о динамической маршрутной маршруте не поддерживается в VPN, основанных на политиках.

Конфигурации на основе маршрутов используются для топологий hub-and-spoke.

VPN, основанные на политиках, не могут использоваться для топологий «hub-and-spoke».

В VPN, основанных на маршруте, политика не ссылается на VPN-туннель.

Если туннель не соединяет большие сети с протоколами динамической маршрутки и не требуется сохранять туннели или определять различные политики фильтрации трафика через туннель, оптимальным вариантом является туннель на основе политик.

VPN с поддержкой удаленного доступа (удаленного доступа) VPN не поддерживается.

Для настройки VPN удаленного доступа (удаленного доступа) VPN необходимы туннели на основе политик.

VPN на основе маршрутов могут неправильно работать с некоторыми сторонними поставщиками.

VPN на основе политик могут потребоваться, если третьей стороне требуются отдельные SAS для каждой удаленной подсети.

Когда устройство обеспечения безопасности делает поиск маршрута для поиска интерфейса, через который он должен посылать трафик для достижения адреса, он находит маршрут через защищенный туннельный интерфейс () , привязанный к конкретному st0 VPN-туннелю.

С использованием VPN-туннеля на основе маршрутов можно рассматривать туннель как средство доставки трафика, а политику можно рассматривать как метод разрешения или запрещения доставки этого трафика.

С помощью VPN-туннеля на основе политик можно рассматривать туннель как элемент при построении политики.

VPN на основе маршрутов поддерживают NAT для интерфейсов st0.

VPN, основанные на политиках, не могут использоваться, NAT для туннельного трафика.

ID прокси-сервера поддерживается для VPN, основанных на маршруте и на основе политик. Туннели на основе маршрутов также могут использовать несколько селекторов трафика, также известных как многопроксий ID. Селектор трафика – это соглашение между двумя IKE о разрешении трафика через туннель, если трафик соответствует заданной паре префикса локального и удаленного IP-адреса, диапазону портов источника, диапазону портов назначения и протоколу. Селектор трафика определяется в определенной VPN на основе маршрутов, что может привести к множественным СА IPsec фазы 2. Только трафик, соответствующий селектору трафика, разрешается через SA. Селектор трафика обычно требуется, когда устройства удаленных шлюзов не являются Juniper Networks шлюзами.

VPN на основе политик поддерживаются только на SRX5400, SRX5600 и SRX5800 устройствах. Поддержка платформы зависит от Junos OS в установке.

Сравнение VPN на основе политик и VPN на основе маршрутов

Табл. 2 суммирует различия между VPN на основе политик и VPN на основе маршрутов.

Табл. 2: Сравнение VPN на основе политик и VPN на основе маршрутов

VPN на основе политик

VPN на основе маршрутов

В VPN на основе политик туннель рассматривается как объект, который вместе с источником, назначением, приложением и действием создает политику туннеля, которая разрешает VPN-трафик.

В VPN на основе маршрутов политика не ссылается на туннель VPN.

Политика туннеля специально ссылается на VPN-туннель по имени.

Маршрут определяет, какой трафик отправляется через туннель на основе IP-адреса назначения.

Количество туннелей VPN на основе политик ограничено количеством туннелей, поддерживаемого устройством.

Количество туннелей VPN на основе маршрутов ограничено числом интерфейсов st0 (для VPN точестных точестов) или количеством туннелей, поддерживаемого устройством, в зависимости от того, что меньше.

При построении VPN на основе политик, хотя можно создать несколько политик туннеля, ссылающихся на один и тот же VPN-туннель, каждая пара политик туннеля создает отдельное SA IPsec с удаленным одноранговой стороной. Каждая SA считается отдельным VPN-туннелем.

Поскольку маршрут, а не политика, определяет, какой трафик проходит через туннель, с помощью одной SA или VPN можно поддерживать несколько политик.

В VPN, основанной на политиках, действие должно быть разрешено и должно включать туннель.

В СЕТИ VPN на основе маршрутов регулирование трафика не совмеется со средствами его доставки.

Обмен сведениями о динамической маршрутной маршруте не поддерживается в VPN, основанных на политиках.

VPN,основанные на маршруте, поддерживают обмен информацией о динамической маршрутке через VPN-туннели. На интерфейсе st0, связанном с VPN-туннелем, можно включить экземпляр протокола динамической маршрутки, OSPF, например, st0.

Если для указания трафика, отправленного в туннель, требуется более подробная детализация, чем маршрут, лучше всего использовать VPN на основе политик с политиками безопасности.

VPN на основе маршрутов используют маршруты для указания трафика, отосланного по туннелю; политика не ссылается на туннель VPN.

С помощью VPN-туннеля на основе политик можно рассматривать туннель как элемент при построении политики.

Когда маршрутизатор устройство обеспечения безопасности поиск маршрута для поиска интерфейса, через который он должен посылать трафик для достижения адреса, он находит маршрут через интерфейс защищенного туннеля (st0).

С использованием VPN-туннеля на основе маршрутов можно рассматривать туннель как средство доставки трафика, а политику можно рассматривать как метод разрешения или запрещения доставки этого трафика.

Понимание IKE обработки пакетов IPsec

Туннель IPsec VPN состоит из установки туннеля и обеспечения безопасности. Во время установки туннеля одноранговые параметров устанавливают ассоциации безопасности (SAS), определяющие параметры обеспечения безопасности трафика между собой. Обзор IPsec(См. .) После установки туннеля IPsec защищает трафик, отправленный между двумя конечными точками туннеля, применив параметры безопасности, определенные SAS во время установки туннеля. В рамках Junos OS IPsec применяется в туннельном режиме, который поддерживает протоколы инкапсуляции безопасности полезная нагрузка (ESP) и протоколов Authentication Header (AH).

Данная тема включает в себя следующие разделы:

Обработка пакетов в туннельном режиме

IPsec работает в одном из двух режимов — транспортный или туннельный. Если оба конца туннеля являются хостыми, можно использовать любой из режимов. Если хотя бы одна из конечных точек туннеля является шлюзом безопасности, например, Junos OS или межсетевой экран, необходимо использовать туннельный режим. Juniper Networks устройства всегда работают в туннельном режиме для туннелей IPsec.

В туннельном режиме весь исходный IP-пакет — полезной нагрузки и задавка — инкапсулируется в другую полезной нагрузку IP, и к ней привносим новый зад, как показано Рис. 1 в. Весь исходный пакет может быть зашифрован, аутентификация или оба пакета. С помощью протокола Authentication Header (AH) аутентификация AH и новые заглавныедеры также аутентификация. С помощью протокола инкапсулированной полезная нагрузка безопасности (ESP) заглавную ссылку ESP также можно аутентификацию.

Рис. 1: Туннельный режимТуннельный режим

В СЕТИ VPN между узлами в качестве адреса источника и адреса назначения, используемых в новом загоне, используются IP-адреса исходячего интерфейса. См. Рис. 2 .

Рис. 2: VPN на объекте в туннельном режимеVPN на объекте в туннельном режиме

В сети VPN со средствами набора номера нет туннельного шлюза на конце туннеля клиентского соединения VPN; туннель распространяется непосредственно на самого клиента Рис. 3 (см. ). В этом случае для пакетов, отправленных от клиента телефонного дозвона, у нового загона и инкапсулированного исходного загона одинаковый IP-адрес: на компьютере клиента.

Некоторые VPN-клиенты, такие как динамический VPN-клиент и Netscreen-Remote, используют виртуальный внутренний IP-адрес (также называемый "sticky-адресом"). Netscreen-Remote позволяет определить виртуальный IP-адрес. Динамический клиент VPN использует виртуальный IP-адрес, присвоенный во время обмена конфигурациями XAuth. В таких случаях, виртуальный внутренний IP-адрес является IP-адресом источника в исходном загоне пакета трафика, исходяшего от клиента, а IP-адрес, который isP динамически назначает клиенту внешнего набора, является исходным IP-адресом во внешнем загоне.

Рис. 3: VPN в туннельном режимеVPN в туннельном режиме

Распределение сеансов IKE IPsec между spus

В SRX5400, SRX5600 и SRX5800 устройства IKE обеспечивает управление туннелем для IPsec и аутентификацию конечных объектов. IKE выполняет обмен ключами Diffie-Hellman (DH) для создания туннеля IPsec между сетевыми устройствами. Туннели IPsec, созданные IKE, используются для шифрования, дешифрования и аутентификации пользовательского трафика между сетевыми устройствами на IP-уровне.

VPN создается путем распределения нагрузки IKE IPsec между несколькими процессорами services Processing Units (SPUs) платформы. Для туннелей между узлами наименее загруженный SPU выбирается в качестве якорного SPU. Если несколько SPU имеют одинаковые наименьшие нагрузки, любой из них может быть выбран в качестве якорного SPU. В этом примере нагрузка соответствует количеству шлюзов между узлами или туннелей VPN, закрепленных на SPU вручную. Для динамических туннелей вновь установленные динамические туннели используют алгоритм кругового алгоритма выбора SPU.

В IPsec рабочая нагрузка распределяется тем же алгоритмом, который распределяет IKE. Точки завершения фазы 2 для пары точек завершения VPN-туннеля принадлежат только конкретному SPU, и все пакеты IPsec, принадлежащие этой sa фазы 2, переадлиняются на привязку SPU этого SA для обработки IPsec.

Несколько сеансов IPsec (SA фазы 2) могут выполняться в течение одного или нескольких IKE сеансов. Выбранный для привязки сеанса IPsec SPU основан на SPU, который закреплен за IKE сеансом. Поэтому все сеансы IPsec, которые работают через один IKE шлюз, обслужны одним ИТ-процессором и не сбалансированы по нагрузке между несколькими процессорами SPU.

Табл. 3 показывает пример устройства линии SRX5000 с тремя SPUs, работающими с семью туннелями IPsec через три IKE шлюзов.

Табл. 3: Распределение сеансов IKE IPsec между spus

Spu

IKE шлюза

Туннель IPsec

SPU0

IKE-1

IPsec-1

IPsec-2

IPsec-3

SPU1

IKE-2

IPsec-4

IPsec-5

IPsec-6

SPU2

IKE-3

IPsec-7

Три SPП имеют равную нагрузку по одному IKE шлюзу каждый. Если создан новый IKE шлюз, можно выбрать SPU0, SPU1 или SPU2 для привязки шлюза IKE и его сеансов IPsec.

Установка и разрыв существующих туннелей IPsec не влияет на IKE или существующие туннели IPsec.

Используйте следующую show команду для просмотра текущего туннельного подсчета для каждого SPU: show security ike tunnel-map.

Используйте параметр summary команды для просмотра якорных точек каждого шлюза: show security ike tunnel-map summary.

Поддержка VPN для вставки карт обработки служб

SRX5400, SRX5600 и SRX5800 устройства имеют архитектуру распределенного процессора на базе шасси. Мощность обработки потока общая и зависит от количества сервисных процессорных карт (SPC). Можно масштабировать вычислительную мощность устройства, устанавливая новые SPC.

В кластере SRX5400, SRX5600 или SRX5800 шасси можно вставлять на устройства новые SPC, не влияя на трафик существующих туннелей IKE ИЛИ IPsec VPN. При вставке нового SPC в каждое шасси кластера существующие туннели не затронуты, и трафик продолжает поступать без сбоев.

Начиная с Junos OS выпуска 19.4R1, на всех шасси устройств серии SRX5000 можно вставить новую карту SRX5K-SPC3 (SPC3) или SRX5K-SPC-SPC-4-15-320 (SPC2) на существующее шасси с картой SPC3. Карты можно вставлять только в более высокий слот, чем существующая карта SPC3 на шасси. Чтобы активировать карту, необходимо перезагрузить узел после вставки SPC3. После завершения перезагрузки узла туннели IPsec распределяются по картам.

Однако существующие туннели не могут использовать вычислительную мощность процессорных единиц (SPUs) служб в новых SPC. Новый SPU может установить привязку только что установленных туннелей между узлами и динамических туннелей. Однако вновь настроенные туннели не гарантируют привязки нового SPU.

Туннели между узлами и узлами закреплены на различных SP, основываясь на алгоритме балансировки нагрузки. Алгоритм балансировки нагрузки зависит от потока потока номеров, используемого каждым SPU. Туннели, принадлежащие одному и тем же IP-адресам локального и удаленного шлюза, закреплены на одном SPU на потоках RT, используемых SPU. SPU с наименьшей нагрузкой выбирается в качестве якорного SPU. Каждый SPU поддерживает количество потоков RT, которые находятся в этом конкретном SPU. Количество потоков RT потоков, которые расположено на каждом SPU, зависит от типа SPU.

Коэффициент загрузки туннеля = количество туннелей, закрепленных на SPU / Общее количество потоков потока RT, используемых SPU.

Динамические туннели закреплены на различных spUs на основе алгоритма кругового алгоритма. Новые настроенные динамические туннели не гарантируют закрепления на новом SPC.

Начиная с Junos OS и 18.2R2 18.4R1, Все существующие функции IPsec VPN, которые в настоящее время поддерживаются на SRX5K-SPC3 (SPC3) будут поддерживаться только на SRX5400, SRX5600 и SRX5800 устройствах, когда SRX5K-SPC-SPC-4-15-320 (SPC2) и карты SPC3 устанавливаются и работают на устройстве в режиме кластера шасси или в режиме standalone.

При установке карт SPC2 и SPC3 можно проверить сопоставление туннелирования на разных SPUs с помощью show security ipsec tunnel-distribution команды.

Используйте эту команду show security ike tunnel-map для просмотра отображения туннелирования на разных spUs с вставленной только картой SPC2. Команда не действует в среде, где show security ike tunnel-map установлены карты SPC2 и SPC3.

Вставка карты SPC3: Руководящие принципы и ограничения:

  • В кластере с шасси, если один из узлов имеет 1 карту SPC3, а другой узел имеет 2 карты SPC3, перенастройка на узел с 1 картой SPC3 не поддерживается.

  • Необходимо вставить SPC3 или SPC2 в существующее шасси в разъем с более высоким, чем текущий SPC3, представленный в нижнем слоте.

  • Для работы SPC3 ISМАЙЛ необходимо вставить новую карту SPC3 в более высокий номер слота.

  • В SRX5800 шасси не следует вставлять карту SPC3 в самое высокое гнездо (слот No 11) из-за предела мощности и тепловых распределений.

  • Горячее удаление SPC3 не поддерживается.

Включение набора функций IPsec VPN на процессорной карте служб SRX5K-SPC3

Линейка устройств SRX5000 с картой SRX5K-SPC3 требует установки пакета и возможности любой из функций junos-ike IPsec VPN. По умолчанию пакет устанавливается в Junos OS выпусках junos-ike 20.1R2, 20.2R2, 20.3R2, 20.4R1 и более поздних версиях для линейки устройств SRX5000 с RE3. В результате процесс запускается на механизме маршрутизации по умолчанию вместо ключа ikedikemd IPsec демон управления (кмd).

Если необходимо использовать процесс KMD для настройки функции IPsec VPN вместо IKE, request system software delete junos-ike запустите команду.

Для проверки junos-ike установленного пакета используется следующая команда:

Поддержка функции IPsec VPN на линейке устройств SRX5000 с SRX5K-SPC3 и vSRX экземплярами с новым пакетом

На этой теме приводится краткое описание функций и конфигураций IPsec VPN, которые не поддерживаются линией SRX5000 устройств с SPC3 и vSRX экземплярами.

Функция IPsec VPN поддерживается двумя процессами: на ikedikemd SRX5K-SPC3 и vSRX экземплярах. Один экземпляр и одновременно будет модуль маршрутизации ikedikemd на одном экземпляре.

По умолчанию пакеты устанавливаются в Junos OS выпусках Junos-ike 20.1R2, 20.2R2, 20.3R2, 20.4R1 и более поздних для линии SRX5000 устройств с RE3. Оба процесса и процесс запускается на устройстве ikedikemd маршрутизации.

Для ikemd перезапуска процесса в обработать механизм обработки используйте restart ike-config-management эту команду.

Чтобы iked перезапустить процесс в модуль маршрутизации используйте restart ike-key-management команду.

Если необходимо использовать процесс KMD для настройки функции IPsec VPN вместо IKE, request system software delete junos-ike запустите команду.

Функции IPsec VPN не поддерживаются

Чтобы определить, поддерживается ли данная функция определенной платформой или Junos OS, обратитесь к explorer функций.

Табл. 4: Поддержка функции IPsec VPN на серия SRX и vSRX экземплярах

Функции

Поддержка на линиях SRX 5000 устройств с SRX5K-SPC3 и vSRX экземплярами

VPN автоматического обнаружения (ADVPN).

Нет

Многоканальный режим «АвтоВPN Протокол независимой многоадретной (PIM) точки-многоточки.

Нет

Поддержка autoVPN RIP для однонастного трафика.

Нет

Обнаружение bidirectional Forwarding (BFD) через маршруты OSPFv3 на интерфейсе st0.

Не поддерживается vSRX

Настройка класса переадстройки на VPN IPsec.

Нет

Режим config (проект-дейтафейс-ike-mode-cfg-03).

Нет

Обнаружение неавтометных равноправных узла (DPD) и перебой шлюза DPD.

Переудавка шлюза DPD не поддерживается vSRX.

Транспортные режимы AH.

Нет

Group VPN.

Нет

Для IKE.

Нет

Timers idle для SA IPsec.

Нет

Недопустимый ответ SPI.

Нет

Срок действия IKE SA в килобайтах.

Нет

Логическая система.

Нет

VPN вручную.

Нет

Многоавестный трафик.

Нет

Протокол обнаружения соседей (NDP) через интерфейсы st0.

Нет

Настройка размера пакета для проверки IPsec datapath.

Нет

Переумыкание пакетов для фрагментов IPv6 по туннелю.

Нет

Интерфейсы туннелей «точка-многоточки».

Нет

VPN на основе политик IPsec.

Нет

Удаленный доступ.

Нет

Группа поддержки IKE для динамической конфигурации VPN.

Нет

Почитание TOS/DSCP для IPsec (внешний/внутренний).

Поддерживается на SRX и vSRX

Статическая маршрутка.

Поддерживается на SRX и vSRX

Динамическая (RIP, OSPF, BGP) маршрутов Нет

Vpn-мониторинг.

Нет

XAuth

Нет

О VPN-сети Hub-and-Spoke

При создании двух туннелей VPN, заканчивающихся на устройстве, можно настроить пару маршрутов так, чтобы устройство направлял трафик, направляющийся из одного туннеля в другой туннель. Также необходимо создать политику, которая позволяет трафику проходить от одного туннеля к другому. Такая схема известна как HUB-and-spoke VPN. Рис. 4(См. .)

Можно также настроить несколько VPN и маршрутить трафик между любыми двумя туннелями.

серия SRX устройства поддерживают только функцию «центр-ося на основе маршрутов».

Рис. 4: Несколько туннелей в конфигурации hub-and-Spoke VPNНесколько туннелей в конфигурации hub-and-Spoke VPN
Таблица истории выпусков
Версия
Описание
20.1R2
По умолчанию пакет устанавливается в Junos OS выпусках junos-ike 20.1R2, 20.2R2, 20.3R2, 20.4R1 и более поздних версиях для линейки устройств SRX5000 с RE3. В результате процесс запускается на механизме маршрутизации по умолчанию вместо ключа ikedikemd IPsec демон управления (кмd).