Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN на основе маршрутов IPsec

VPN на основе маршрутов — это конфигурация, в которой туннель IPsec VPN, созданный между двумя конечными точками, определяет, какой трафик передается через туннель на основе IP-адреса назначения.

Понимание VPN IPsec на основе маршрутов

С помощью VPN на основе маршрутов можно настроить несколько десятков политик безопасности для управления трафиком, который проходит через один VPN-туннель между двумя сайтами, и для работы IKE работает всего один набор IKE SAs. В отличие от VPN, основанных на политиках, для VPN на основе маршрутов политика относится к адресу назначения, а не к VPN-туннелю. Когда Junos OS ищет маршрут, чтобы найти интерфейс, который используется для отправки трафика на адрес назначения пакета, он находит маршрут через защищенный туннельный интерфейс (st0). x). Туннельный интерфейс привязан к определенному VPN-туннелю, и трафик будет направлен в туннель, если это разрешено действием политики.

Безопасный туннель (st0) одновременно поддерживает только один адрес IPv4 и один адрес IPv6. Это относится ко всем VPN на основе маршрутов. Этот disable параметр не поддерживается на интерфейсах st0.

Примеры использования VPN на основе маршрутов:

  • Существует наложение подсетей или IP-адресов между двумя ЛНА.

  • В сети используется топология сети VPN с топологией «концентратор-о- и». Требуется многоадминивный трафик.

  • Требуются первичные и резервные VPN.

  • Протокол динамической маршрутки (например, OSPF, RIP или BGP) работает в сети VPN.

    Настройка каналов по требованию RIP через многоканальный VPN-интерфейс не поддерживается.

Мы рекомендуем использовать VPN на основе маршрутов, если необходимо настроить VPN между несколькими удаленными сайтами. VPN на основе маршрутов обеспечивает маршрутную сеть между несколькими удаленными сайтами; упрощает настройку, мониторинг и устранение неполадок.

Примере: Настройка VPN на основе маршрутов

В этом примере показано, как настроить VPN на основе маршрутов, чтобы обеспечить надежную передачу данных между двумя сайтами.

Требования

В данном примере используется следующее оборудование:

  • Любое серия SRX устройство

    • Обновлено и повторно засвидещено с vSRX в Junos OS версии 20.4R1.
Прим.:

Вам интересно получить практический опыт работы по темам и операциям, обсуждаемых в данном руководстве? Посетите демонстрацию VPN на базе маршрутов IPsec Juniper Networks Virtual Labs и зарезервировать свою свободную песочницу уже сегодня! Песочницу маршрутизирующей сети IPsec VPN можно найти в категории безопасности.

Перед началом прочитайте Обзор IPsec .

Обзор

В данном примере настраивается VPN на основе маршрутов на SRX1 и SRX2. Хост 1 и хост 2 используют VPN для безопасной отправки трафика через Интернет между обоими хостами.

Рис. 1 показывает пример топологии VPN на основе маршрутов.

Рис. 1: Топология VPN на основе маршрутов Топология VPN на основе маршрутов

В данном примере настраиваются интерфейсы, маршрут по умолчанию IPv4 и зоны безопасности. Затем настраиваются IKE, IPsec, политика безопасности и параметры TCP-MSS. См. Табл. 1Табл. 5 конкретные параметры конфигурации, используемые в данном примере.

Табл. 1: Интерфейс, статические маршруты, зона безопасности и сведения о политике безопасности для SRX1

Возможность

Имя

Параметры конфигурации

Интерфейсы

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

st0.0 (туннельный интерфейс)

10.100.200.1/24

Статичные маршруты

10.100.22.0/24

0.0.0.0/0

Следующий переход - st0.0.

Следующий переход – 172.16.13.2.

Зоны безопасности

Доверять

  • Интерфейс ge-0/0/0.0 привязан к этой зоне.

 

неторгуемая

  • Интерфейс ge-0/0/1.0 привязан к этой зоне.

 

Vpn

  • Интерфейс st0.0 привязан к этой зоне.

Табл. 2: IKE конфигурации

Возможность

Имя

Параметры конфигурации

Предложение

Стандартный

  • Метод аутентификации: предварительные общие ключи

Политики

IKE-POL

  • Режим: Главной

  • Справочник по предложениям: Стандартный

  • IKE политика аутентификации: предварительные общие ключи

Шлюза

IKE-GW

  • IKE политики: IKE-POL

  • Внешний интерфейс: ge-0/0/1

  • Адрес шлюза: 172.16.23.1

Табл. 3: Параметры конфигурации IPsec

Возможность

Имя

Параметры конфигурации

Предложение

Стандартный

  • Использование конфигурации по умолчанию

Политики

IPSEC-POL

  • Справочник по предложениям: Стандартный

Vpn

VPN-to-Host2

  • IKE шлюза: IKE-GW

  • Справочник по политикам IPsec: IPSEC-POL

  • Привязка к интерфейсу: st0.0

  • создание туннелей немедленно
Табл. 4: Параметры настройки политики безопасности

Цель

Имя

Параметры конфигурации

Политика безопасности разрешает трафик из зоны доверия в зону VPN.

VPN-OUT

  • Критерии соответствия:

    • исходный адрес Host1-Net

    • адрес назначения Host2-Net

    • приложение any

  • Действий: Разрешение

Политика безопасности разрешает трафик из зоны VPN в зону доверия.

VPN-IN

  • Критерии соответствия:

    • исходный адрес Host2-Net

    • адрес назначения Host1-Net

    • приложение any

  • Действий: Разрешение

Табл. 5: Параметры конфигурации TCP-MSS

Цель

Параметры конфигурации

TCP-MSS согласовываться как часть трехавтного TCP-связи и ограничивает максимальный размер сегмента TCP, чтобы лучше соответствовать MTU ограничениям в сети. Для трафика VPN накладные расходы на инкапсуляцию IPsec, а также накладные расходы по IP и кадру могут привести к превышению итоговых пакетов ESP MTU физического интерфейса, что вызывает фрагментацию. Фрагментация увеличивает полосу пропускания и ресурсы устройства.

Рекомендуется использовать значение 1350 в качестве начальной точки для большинства сетей на основе Ethernet с MTU 1500 и более. Для получения оптимальной производительности может потребоваться экспериментировать с различными значениями TCP-MSS. Например, может потребоваться изменить значение, если любое устройство на пути обладает более низким MTU или если имеются дополнительные накладные расходы, такие как PPP или Frame Relay.

Значение MSS: 1350

Конфигурации

Настройка базовой информации о сети и зоне безопасности

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого раздела примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды в конфигурацию на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурирований.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Настройка интерфейса, статического маршрута и информации о зоне безопасности:

  1. Настройте интерфейсы.

  2. Настройте статические маршруты.

  3. Назначьте интерфейсу, который сталкивается с Интернетом, неподтверченной зоне безопасности.

  4. Укажите допустимые системные службы для недоверной зоны безопасности.

  5. При назначении интерфейса, передаемго хосту 1, в зону безопасности доверия.

  6. Укажите разрешенные системные службы для зоны безопасности доверия.

  7. Назначьте безопасный туннельный интерфейс зоне безопасности VPN.

  8. Укажите разрешенные системные службы для зоны безопасности VPN.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show security zones команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка IKE

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого раздела примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды в конфигурацию на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурирований.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Для настройки IKE:

  1. Создайте IKE предложение.

  2. Определите метод IKE предложения.

  3. Создайте IKE политики.

  4. Установите режим IKE политики.

  5. Укажите ссылку на предложение IKE.

  6. Определите метод IKE политики.

  7. Создайте IKE шлюза и определите его внешний интерфейс.

  8. Определите справочник IKE политики.

  9. Определите IKE шлюза.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ike команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка IPsec

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого раздела примера для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды в конфигурацию на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit конфигурирований.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Настройка IPsec:

  1. Создайте предложение IPsec.

  2. Создайте политику IPsec.

  3. Укажите справочник предложений IPsec.

  4. Укажите IKE шлюза.

  5. Укажите политику IPsec.

  6. Укажите интерфейс для привязки.

  7. Настройте туннель для немедленного установления.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security ipsec команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка политик безопасности

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить политики безопасности для SRX1, скопировать следующие команды, ввести их в текстовый файл, удалить любые разрывы строк, изменить все данные, необходимые для настройки сети, скопировать и ввести команды на интерфейс командной строки иерархии, а затем зайти в режим [edit]commit конфигурирований.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Конфигурировать политики безопасности:

  1. Создайте записи адресной книги для сетей, которые будут использоваться в политиках безопасности.

  2. Создайте политику безопасности для разрешения трафика из доверченной зоны в недоверную зону для трафика в Интернет.

  3. Создайте политику безопасности для разрешения трафика от Хоста 1 в зоне доверия, предназначенной для хоста 2 в зоне VPN.

  4. Создайте политику безопасности для разрешения трафика от хоста 2 в зоне VPN к Host1 в зоне доверия.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security address-bookshow security policies команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Настройка TCP-MSS

интерфейс командной строки быстрой конфигурации

Для быстрой настройки TCP MSS для SRX1, скопируйте следующие команды, введите их в текстовый файл, удалите обрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды в конфигурацию на интерфейс командной строки иерархии, а затем войдите в режим [edit]commit настройки.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в руководстве интерфейс командной строки пользователя.

Настройка данных TCP-MSS:

  1. Настройте данные TCP-MSS.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security flow команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка SRX2

интерфейс командной строки быстрой конфигурации

Для справки представлена конфигурация SRX2.

Для быстрой настройки этого раздела примера, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit]commit конфигурации.

Проверки

Выполните эти задачи, чтобы подтвердить, что конфигурация работает правильно:

Проверка состояния IKE состояния

Цель

Проверьте состояние IKE состояния.

Действий

В рабочем режиме введите show security ike security-associations команду. После получения индексного номера в команде используйте show security ike security-associations index index_number detail эту команду.

Смысл

Команда show security ike security-associations перечисляет все активные IKE SAS. Если в списке нет ни один список SAS, то возникла проблема IKE установления. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации.

Если список есть в списке, просмотрите следующую информацию:

  • Index. Это значение уникально для IKE SA, которое можно использовать в команде для show security ike security-associations index detail получения дополнительной информации об SA.

  • Remote Address (Удаленный адрес) — проверьте правильность удаленного IP-адреса.

  • Штат

    • UP — IKE sa был создан.

    • DOWN — создание IKE SA было проблемой.

  • Mode — убедитесь, что используется правильный режим.

Убедитесь, что в конфигурации правильно следующее:

  • Внешние интерфейсы (этот интерфейс должен быть тем, который IKE пакетов)

  • IKE политики

  • Предварительные сведения о ключе

  • Параметры предложения (должны совпадать на обоих одноранговых узлах)

Эта show security ike security-associations index 1859340 detail команда перечисляет дополнительную информацию о ассоциации безопасности с индексным номером 1859340:

  • Используемые алгоритмы аутентификации и шифрования

  • Жизни

  • Статистика трафика (может использоваться для проверки правильного потока трафика в обоих направлениях)

  • Сведения о роли

    Поиск и устранение неисправностей лучше всего выполняют на одноранговом узлах с помощью роли ответчика.

  • Информация о инициаторе и ответчике

  • Число созданных IPsec SAs

  • Число определенных согласований

Проверка состояния IPsec

Цель

Проверьте состояние IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду. После получения индексного номера в команде используйте show security ipsec security-associations index index_number detail эту команду.

Смысл

В выходных данных show security ipsec security-associations команды перечислены следующие сведения:

  • Номер ID – 131074. Используйте это значение вместе show security ipsec security-associations index с командой, чтобы получить дополнительные сведения об этой конкретной SA.

  • Существует одна пара SA IPsec, использующая порт 500, что означает, что NAT-обход не реализован. (NAT-обход использует порт 4500 или другой случайный высоконоростной порт.)

  • ИП, срок действия (в секундах) и ограничения по использованию (или продолжительность жизни в КБ) показаны для обоих направлений. Значение 3403/unlim означает, что срок действия истекает через 3403 секунды и что срок действия не определен, что означает отсутствие ограничений. Срок службы может отличаться от срока действия, поскольку IPsec не зависит от IKE, как только VPN будет в сети.

  • Мониторинг VPN для этого SA не включен, как указано дефис в столбце Мон. Если мониторинг VPN включен, U показывает, что мониторинг включен, а D — что мониторинг не включен.

  • Виртуальная система (vsys) является корневой системой, и она всегда содержит 0.

В выходных данных show security ipsec security-associations index 131074 detail команды перечислены следующие сведения:

  • Локализованная идентификация и удаленная идентификация составляют идентификатор прокси для SA.

    Не несоответствие ID прокси является одной из наиболее распространенных причин сбоя IPsec. Если список SA IPsec не указан, подтвердит, что предложения IPsec, включая параметры ID прокси, верны для обоих одноранговых сторон. Для VPN на основе маршрутов, ID прокси по умолчанию – local=0.0.0.0/0, remote=0.0.0.0/0 и service=any. Проблемы могут возникнуть с несколькими VPN на основе маршрутов из одного и того же IP-узла. В этом случае должен быть указан уникальный ID прокси для каждой SA IPsec. Для некоторых сторонних поставщиков для проверки совпадения необходимо вручную вписать ID прокси-сервера.

  • Другая распространенная причина сбоя IPsec – не указание привязки интерфейса ST. Если IPsec не может завершиться, проверьте параметры журнала "kmd" или установите параметры трассировки.

Проверка потока трафика через VPN

Цель

Проверьте поток трафика через VPN.

Действий

Используйте команду устройства Host1 для проверки ping потока трафика к хосту 2.

Смысл

Если команда не работает с хоста 1, это может быть проблемой с маршрутизацией, политиками безопасности, конечным хостом или шифрованием и расшифровки ping пакетов ESP.

Просмотр статистики и ошибок для ассоциации безопасности IPsec

Цель

Просмотрите счетчики esp и аутентификации заглавныхдеров и ошибки для ассоциации безопасности IPsec.

Действий

В рабочем режиме введите команду, используя индексный номер VPN, для которого show security ipsec statistics index index_number необходимо получить статистику.

Эту команду можно также использовать для просмотра статистики и show security ipsec statistics ошибок для всех SAS.

Для очистки всей статистики IPsec используйте clear security ipsec statistics эту команду.

Смысл

Если в сети VPN могут быть проблемы потери пакетов, запустите команду или несколько раз для подтверждения приращения счетчиков зашифрованных и расшифровавающих show security ipsec statisticsshow security ipsec statistics detail пакетов. На все приращения счетчиков ошибок посмотрите в выходных данных команды.