Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Селекторы трафика в VPN на основе маршрутов

Селектор трафика – это соглашение между двумя IKE о разрешении трафика через VPN-туннель, если трафик соответствует заданной паре локальных и удаленных адресов. Только трафик, соответствующий селектору трафика, разрешается через соответствующее ассоциацию безопасности (SA).

Понимание селекторов трафика в VPN, основанных на маршруте

Селектор трафика – это соглашение между двумя IKE о разрешении трафика через туннель, если трафик соответствует заданной паре локальных и удаленных адресов. С помощью этой функции можно определить селектор трафика в пределах конкретной VPN на основе маршрутов, что может привести к множественным ассоциациям безопасности IPsec на этапе 2. Только трафик, соответствующий селектору трафика, разрешается через связанное SA.

Начиная Junos OS выпусков 12.1X46-D10 и Junos OS 17.3R1, селекторы трафика можно настраивать с помощью VPN месту работы IKEv1. Начиная Junos OS выпуске 15.1X49-D100, селекторы трафика можно настраивать с помощью VPN месту работы IKEv2.

Конфигурация селектора трафика

Для настройки селектора трафика используйте утверждение traffic-selector конфигурации на уровне edit security ipsec vpn vpn-name иерархии [] Селектор трафика определяется с помощью обязательных правил local-ip ip-address/netmaskremote-ip ip-address/netmask и правил. Команда интерфейс командной строки operational show security ipsec security-association detail отображает сведения о селекторе трафика для SAS. Команда show security ipsec security-association traffic-selector traffic-selector-name интерфейс командной строки отображает сведения для указанного селектора трафика.

Для данного селектора трафика для локальных и удаленных адресов указывается один адрес и сетеваямаска. Селекторы трафика можно настроить с адресами IPv4 или IPv6. Нельзя использовать адресные книги для указания локальных или удаленных адресов.

Для одной и той же VPN можно настроить несколько селекторов трафика. Для каждой VPN может быть настроено не более 200 селекторов трафика. Селекторы трафика могут использоваться в туннельных режимах IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 или IPv6-in-IPv4.

Ниже функции не поддерживаются с селекторами трафика:

  • Мониторинг VPN

  • Разные семейства адресов, настроенные для локальных и удаленных IP-адресов в селекторе трафика

  • Удаленный адрес 0.0.0.0/0 (IPv4) или 0:0 (IPv6) для VPN между узлами

    Начиная Junos OS выпуске 15.1X49-D140, на всех серия SRX и vSRX экземплярах, при настройке селектора трафика с удаленным адресом 0:0 (IPv6), при выполнении проверки сфиксации и проверки конфигурации отображается “error: configuration check-out failed” следующее сообщение.

  • Интерфейсы между точками

  • Протоколы динамической маршрутки, настроенные на интерфейсах st0

Если для vpn на основе маршрутов настроено несколько селекторов трафика, то при перемещении внешнего интерфейса виртуальный маршрутизатор (VR) в туннель VPN может быть IKE трафик. Программное обеспечение не обрабатывает несколько асинхронных событий интерфейса, генерируемых при IKE внешнего интерфейса шлюза в другой VR. В качестве обходного решения сначала деактивировать VPN-туннель IPsec и сфиксировать конфигурацию без этого туннеля перед перемещением внешнего интерфейса IKE шлюза в другой VR.

Понимание вставки автоматического маршрута

Добавление автоматического маршрута (ARI) автоматически вставляет статический маршрут для удаленной сети и хостов, защищенных конечной точкой удаленного туннеля. Маршрут создается на основе удаленного IP-адреса, настроенного в селекторе трафика. В случае селекторов трафика настроенный удаленный адрес вставляется в качестве маршрута в экземпляре маршрутов, связанном с интерфейсом st0, привязанным к VPN.

Протоколы маршрутов и конфигурация селектора трафика являются взаимоисключающими способами управления трафиком в туннеле. Маршруты ARI могут конфликтовть с маршрутами, заполняемыми протоколами маршрутов. Поэтому не следует настраивать протоколы маршрутов на интерфейсе st0, связанном с VPN, на котором настроены селекторы трафика.

ARI также известен как вставка обратного маршрута (RRI). Маршруты ARI вставляются в таблицу маршрутов следующим образом:

  • Если параметр настроен на уровне иерархии [ ] Маршруты ARI добавляются после завершения establish-tunnels immediatelyedit security ipsec vpn vpn-name фазы 1 и фазы 2. Поскольку маршрут не добавляется до тех пор, пока не будут установлены SAS, неудалась согласование не приводит к маршруту трафика на интерфейс st0, который не работает. Вместо этого используется альтернативный или резервный туннель.

  • Если параметр не настроен на уровне establish-tunnels immediatelyedit security ipsec vpn vpn-name [] иерархии, маршруты ARI добавляются при конфигурировании commit.

  • Маршрут ARI не добавляется, если настроенный или согласуемый удаленный адрес в селекторе трафика 0.0.0.0/0 или 0:0:0.

Предпочтение для статического маршрута ARI - 5. Это значение необходимо для избежания конфликтов с подобными маршрутами, которые могут быть добавлены процессом протокола маршрутизации. Конфигурация метрики для статического маршрута ARI не существует.

С помощью конфигурации статический маршрут ARI не может быть утечен в другие экземпляры rib-groups маршрутов. Используйте import-policy конфигурацию для утечки статических маршрутов ARI.

Понимание селекторов трафика и перекрывающихся IP-адресов

В этом разделе обсуждаются перекрывающиеся IP-адреса в конфигурациях селектора трафика.

Наложение IP-адресов в разных VPN, связанных с одинаковым интерфейсом st0

Этот сценарий не поддерживается селекторами трафика. Селекторы трафика не могут быть настроены на разных VPN, привязанных к одному интерфейсу point-to-multipoint st0, как показано в следующем примере:

Наложение IP-адресов в одном VPN, связанном с тем же st0-интерфейсом

При настройке перекрывающихся IP-адресов для нескольких селекторов трафика в одной VPN первый настроенный селектор трафика, который соответствует пакету, определяет туннель, используемый для шифрования пакетов.

В следующем примере четыре селектора трафика (ts-1, ts-2, ts-3 и ts-4) настроены для VPN (VPN-1), которая привязана к интерфейсу point-to-point st0.1:

Пакет с адресом источника 192.168.5.5 и адресом назначения 10.1.5.10 соответствует селекторам трафика ts-1 и ts-2. Однако первым настроен совпадением селектор трафика ts-1, а туннель, связанный с ts-1, используется для шифрования пакетов.

Пакет с адресом источника 172.16.5.5 и адресом назначения 10.2.5.10 соответствует селекторам трафика ts-3 и ts-4. Однако первым настроен совпадением селектор трафика ts-3, и туннель, связанный с селектором трафика ts-3, используется для шифрования пакетов.

Перекрывающиеся IP-адреса в разных VPN, привязанных к разным интерфейсам st0

Когда перекрывающиеся IP-адреса настраиваются для нескольких селекторов трафика в разных VPN, которые привязаны к разным интерфейсам point-to-point st0, интерфейс st0 сначала выбирается при совпадении с самым длинным префиксом для данного пакета. В сети VPN, которая привязана к выбранному интерфейсу st0, селектор трафика затем выбирается на основе первого настроенного совпадения для пакета.

В следующем примере селектор трафика настраивается в каждой из двух VPN. Селекторы трафика настраиваются с помощью одной и той же локальной подсети, но разных удаленных подсетей.

В каждом селекторе трафика настраиваются разные удаленные подсети, поэтому в таблицу маршрутизации добавляются два разных маршрута. При отыске маршрута используется интерфейс st0, привязанный к соответствующей VPN.

В следующем примере селектор трафика настраивается в каждой из двух VPN. Селекторы трафика настраиваются в разных удаленных подсетях. Локализованная подсеть настраивается для каждого селектора трафика, но заданы разные значения сетевойmask.

В каждом селекторе трафика настраивается удаленная подсеть, поэтому в таблицу маршрутизации добавляются два разных маршрута. При отыске маршрута используется интерфейс st0, привязанный к соответствующей VPN.

В следующем примере селекторы трафика настраиваются в каждой из двух VPN. Селекторы трафика настраиваются в разных локальных и удаленных подсетях.

В этом случае селекторы трафика не пересекаются. Удаленные подсети, настроенные в селекторах трафика, отличаются, поэтому в таблицу маршрутизации добавляются два разных маршрута. При отыске маршрута используется интерфейс st0, привязанный к соответствующей VPN.

В следующем примере селектор трафика настраивается в каждой из двух VPN. Селекторы трафика настраиваются с помощью одной и той же локальной подсети. Для каждого селектора трафика настраивается та же удаленная подсеть, но заданы разные значения сетевойmask.

Обратите внимание, что для remote-ip ts-1 настроен 10.1.1.0/24, а для remote-ip ts-2 - 10.1.0.0/16. Для пакета, предназначенного для 10.1.1.1, просмотр маршрута выбирает интерфейс st0.1, так как ему соответствует более длительный префикс. Пакет шифруется в туннеле, соответствующем интерфейсу st0.1.

В некоторых случаях, допустимые пакеты могут быть отброшены из-за управления трафиком селектора трафика. В следующем примере селекторы трафика настраиваются в каждой из двух VPN. Селекторы трафика настраиваются в разных локальных подсетях. Для каждого селектора трафика настраивается та же удаленная подсеть, но заданы разные значения сетевойmask.

В таблицу маршрутов добавляются два маршрута до 10.1.1.0 (10.1.1.0/24 через интерфейс st0.1 и 10.1.0.0/16 через интерфейс st0.2). Пакет, отправленный с источника 172.16.1.1 к месту назначения 10.1.1.1, соответствует записи таблицы маршрутов для 10.1.1.0/24 через интерфейс st0.1. Однако пакет не соответствует трафику, указанному в селекторе трафика ts-1, и отброшен.

Если в одной удаленной подсети и сетевоймаске настроено несколько селекторов трафика, в таблицу маршрутизации добавляются маршруты с равной стоимостью. Этот случай не поддерживается селекторами трафика, так как выбранный маршрут не может быть предсказуем.

Примере: Настройка селекторов трафика в VPN на основе маршрутов

В данном примере показано, как настроить селекторы трафика для VPN на основе маршрута.

Требования

Обзор

В этом примере настраиваются селекторы трафика, позволяющие трафику поступать между подсетями SRX_A и подсетями SRX_B.

Табл. 1 отображает селекторы трафика для этого примера. Селекторы трафика настраиваются в параметрах фазы 2.

Табл. 1: Конфигурации селектора трафика

SRX_A

SRX_B

Имя селектора трафика

Локальный IP-адрес

Удаленный IP-адрес

Имя селектора трафика

Локальный IP-адрес

Удаленный IP-адрес

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

Обработка трафика IPv6 на основе потока должна быть включена с помощью параметра конфигурации на mode flow-based уровне edit security forwarding-options family inet6 [] иерархии.

Топологии

В туннеле IPv6 VPN содержится трафик Рис. 1 IPv4 и IPv6 между SRX_A и SRX_B устройствами. То есть туннель работает в туннельных режимах IPv4-in-IPv6 и IPv6-in-IPv6.

Рис. 1: Пример конфигурации селектора трафикаПример конфигурации селектора трафика

Конфигурации

Настройка SRX_A

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки селекторов трафика:

  1. Настройте внешний интерфейс.

  2. Настройте защищенный туннельный интерфейс.

  3. Настройте внутренний интерфейс.

  4. Настройте параметры фазы 1.

  5. Настройте параметры фазы 2.

  6. В включается переадваровка на основе потока IPv6.

  7. Настройте зоны безопасности и политику безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow security ike команд , , show security ipsecshow security forwarding-optionsshow security zonesshow security policies и. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка SRX_B

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки селекторов трафика:

  1. Настройте внешний интерфейс.

  2. Настройте защищенный туннельный интерфейс.

  3. Настройте внутренние интерфейсы.

  4. Настройте параметры фазы 1.

  5. Настройте параметры фазы 2.

  6. В включается переадваровка на основе потока IPv6.

  7. Настройте зоны безопасности и политику безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfacesshow security ike команд , , show security ipsecshow security forwarding-optionsshow security zonesshow security policies и. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Примеры выходных данных, показанных на SRX-A.

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние фазы 2 IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду.

В рабочем режиме введите show security ipsec security-associations detail команду.

Смысл

Команда show security ipsec security-associations перечисляет все активные IKE фазы 2. Если в списке нет ни один список SAS, то возникла проблема с установлением фазы 2. Проверьте параметры IKE политики и параметры внешнего интерфейса в своей конфигурации. Параметры предложения фазы 2 должны совпадать на одноранговых устройствах.

Проверка селекторов трафика

Цель

Проверьте согласуются селекторы трафика на защищенного туннельного интерфейса.

Действий

В рабочем режиме введите show security ipsec traffic-selector st0.1 команду.

Проверка маршрутов

Цель

Проверка активных маршрутов

Действий

В рабочем режиме введите show route команду.

Смысл

Команда show route перечисляет активные записи в таблицах маршрутов. Маршруты на удаленный IP-адрес, настроенный в каждом селекторе трафика, должны присутствовать с правильным интерфейсом st0.

Таблица истории выпусков
Версия
Описание
15.1X49-D140
Начиная Junos OS выпуске 15.1X49-D140, на всех серия SRX и vSRX экземплярах, при настройке селектора трафика с удаленным адресом 0:0 (IPv6), при выполнении проверки сфиксации и проверки конфигурации отображается “error: configuration check-out failed” следующее сообщение.
15.1X49-D100
Начиная Junos OS выпуске 15.1X49-D100, селекторы трафика можно настраивать с помощью VPN месту работы IKEv2.
12.1X46-D10
Начиная Junos OS выпусков 12.1X46-D10 и Junos OS 17.3R1, селекторы трафика можно настраивать с помощью VPN месту работы IKEv1.