Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

了解具有多个 IPsec Sa 的基于 CoS 的 IPsec Vpn

 

在 SRX 系列设备上配置的服务等级(CoS)转发类(FCs)可映射到 IPsec 安全关联(Sa)。每个 FC 的数据包都映射到不同的 IPsec SA,从而为本地设备和中间路由器提供 CoS 处理。

具有多个 IPsec Sa 的基于 CoS 的 IPsec Vpn 的优势

  • 使用一组单独的安全关联,帮助您确保不同的数据流。

  • 帮助您促进需要差异流量的 IPsec VPN 部署,如 IP 语音。

概述

此功能是瞻博网络专有的,并可与支持的 SRX 平台和 Junos OS 版本配合使用。VPN 对等设备必须是支持此功能的 SRX 系列设备或 vSRX 实例,或者以与 SRX 系列设备相同的方式支持相同功能的任何其他产品。

将 FCs 映射到 IPsec Sa

可为 VPN 配置多达8个转发类(FC),其multi-sa forwarding-classesedit security ipsec vpn vpn-name层次结构级别为。与对等网关协商的 IPsec Sa 数量基于 VPN 配置的 FCs 数量。FCs 到 IPsec Sa 的映射适用于为 VPN 配置的所有流量选择器。

为特定 VPN 的 FCs 创建的所有 IPsec Sa 都用相同的通道 ID 表示。与通道相关的事件考虑所有 IPsec Sa 的状态和统计信息。与某个通道相关的所有 IPsec Sa 都锁定在 SRX 系列设备上或 vSRX 实例上相同的 SPU 或相同的线程 ID。

IPsec SA 协商

为 VPN 配置多个 FCs 时,将为每个 FC 与对等方协商一个唯一的 IPsec SA。此外,还会协商默认 IPsec SA,以便发送与配置的 FC 不匹配的数据包。即使 VPN 对等设备未配置为 FCs 或不支持 FC 到 IPsec SA 的映射,也会协商默认 IPsec。默认 IPsec SA 是要协商的第一个 IPsec SA 和最后一个要断开的 SA。

具体取决于配置的 FCs 数量。当 IPsec Sa 正在协商过程中时,数据包可能会收到一个 FC,其中 IPsec SA 仍要协商。在给定 FC 的 IPsec SA 协商之前,流量将发送至默认 IPsec SA。如果某个 FC 与任何已安装的 IPsec Sa 都不匹配,则会在默认 IPsec SA 上发送该数据包。

将 FCs 映射到 IPsec Sa 的操作在本地 VPN 网关上完成。本地和对等网关可能以不同的顺序配置 FCs。每个对等网关按 IPsec SA 协商完成的顺序映射 FCs。因此,本地和对等网关可能会有不同的 FC 与 IPsec SA 映射。达到配置的 FCs 次数后,网关停止协商新的 IPsec Sa。对等网关的 IPsec Sa 可能比本地网关上配置的 FCs 数量多。在这种情况下,本地网关接受额外的 IPsec—sa 请求多达18个 IPsec sa。本地网关仅使用其他 IPsec Sa 来对传入 IPsec 流量进行解密。如果收到的数据包的 FC 与任何配置的 FC 不匹配,则会在默认 FC IPsec SA 上发送该数据包。

如果从对等设备上收到默认 IPsec SA 的删除通知,则仅删除默认 IPsec SA,并新协商默认 IPsec SA。在此期间,将丢弃可能进入默认 IPsec SA 的流量。仅当默认 IPsec SA 为最后一个 SA 时,VPN 隧道才会关闭。

如果为establish-tunnels immediately VPN 配置并提交了该选项,SRX 系列设备将协商 IPsec SA,而无需等待信息流到达。如果未针对配置的 FC 的 IPsec SA 完成协商,每60秒就会重试协商。

如果为establish-tunnels on-traffic VPN 配置了该选项,则 SRX 系列设备会在第一个数据包到达时协商 IPsec sa;FC 用于第一个数据包并不重要。无论采用哪一种选项,默认 IPsec SA 都会先协商,然后逐个协商每个 IPsec SA,方法是在设备上配置 FCs 的顺序。

重新

在将具有差异服务代码点(DSCP)流量的多个 Sa 与流量选择器一起使用时,在重新加密期间会发生以下行为。当流量选择器执行重新加密时,如果一个或多个流量选择器由于任何原因无法重新生成密钥,则该特定 SA 将在生存期到期时关闭。在这种情况下,将通过默认流量选择器来发送与特定 SA 匹配的流量。

从 VPN 添加或删除 FCs

从 VPN 添加或删除 FCs 时,VPN 的 IKE 和 IPsec Sa 将启动或关闭,并重新启动协商。该clear security ipsec security-associations命令清除所有 IPsec sa。

死对等方检测(DPD)

使用此功能配置 DPD 时, optimized模式仅在任何 IPsec SA 上存在传出流量且无传入流量时才发送探测器。仅当probe-idle任何 IPsec sa 上没有传出和无传入流量时,模式才会发送探测器。DPD 功能不支持 VPN 监控。

指令

show security ipsec sa details index tunnel-id命令将显示所有 IPsec SA 的详细信息,包括 FC 名称。该show security ipsec stats index tunnel-id命令显示每个 FC 的统计信息。

支持的 VPN 功能

以下 VPN 功能受基于 CoS 的 IPsec Vpn 支持:

  • 基于路由的站点到站点 Vpn。不支持基于策略的 Vpn。

  • AutoVPN.

  • 流量选择器。

  • 自动发现 Vpn (ADVPNs)。

  • IKEv2. 不支持 IKEv1。

  • 死对等方检测(DPD)。不支持 VPN 监控。