Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用 iBGP 为 IPv6 流量配置基本 AutoVPN

 

此示例演示如何将 AutoVPN 集线器配置为充当单个终结点,然后将两个分支配置为充当远程站点的隧道。此示例使用 iBGP 通过 VPN 隧道转发数据包,为 IPv6 环境配置 AutoVPN。

要求

此示例使用以下硬件和软件组件:

  • 作为 AutoVPN 网络中心和分支的三个受支持的 SRX 系列设备。

  • Junos OS 版本 18.1 R1 和更高版本。

开始之前:

  • 提交本地证书请求时,获取证书颁发机构(CA)的地址及其所需的信息(例如质询密码)。

注意

您应该熟悉用于通过 VPN 隧道转发数据包的动态路由协议。有关动态路由协议的特定要求的详细信息,请参阅路由协议概述

概述

此示例显示了 AutoVPN 集线器的配置以及两个分支的后续配置。

在此示例中,第一步是使用简单证书注册协议(SCEP)在每个设备中注册数字证书。分支机构的证书在主题字段中包含组织单位(OU “)”值 SLT;该中心配置有一个组 IKE ID,以匹配 OU 字段“中”的值 SLT。

分支与中心建立 IPsec VPN 连接,允许它们相互通信,并访问中心上的资源。在 AutoVPN 集线器上配置的阶段1和阶段 2 IKE 通道选项,并且所有分支都必须具有相同的值。表 1显示了此示例中使用的选项。

表 1: AutoVPN 中心和分支配置的阶段1和阶段2选项

选项

IKE 建议:

身份验证方法

RSA 数字证书

Diffie-hellman (DH)组

19

身份验证算法

SHA-384

加密算法

AES 256 CBC

IKE 策略:

状态

主页

IPsec 建议:

Protocol

ESP

生存期秒数

3000

加密算法

AES 256 GCM

IPsec 策略:

完全向前保密(PFS)组

19

在所有设备上配置相同的证书授权机构(CA)。

注意

Junos OS 仅支持单一级别的证书层次结构。

表 2显示了在中心和所有分支上配置的选项。

表 2: 集线器和所有分支的 AutoVPN 配置

选项

集散

所有分支

IKE 网关:

远程 IP 地址

动态

2001:db8:2000::1

远程 IKE ID

使用组织单位(OU)字段中’的字符串SLT的分支机构证书上的可分辨名称(DN)

中心’证书上的 DN

本地 IKE ID

中心’证书上的 DN

分支’证书上的 DN

外部接口

ge-0/0/0

分支1:ge-0/0/0.0

分支2:ge-0/0/0.0

UPN

绑定接口

st0.1

st0.1

建立隧道

(未配置)

建立隧道流量

表 3显示了每个分支上不同的配置选项。

表 3: 分支配置之间的比较

选项

分支1

分支2

st 0.0 接口

2001:db8:7000::2/64

2001:db8:7000::3/64

内部网络接口

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

互联网接口

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

所有设备的路由信息都通过 VPN 隧道交换。

注意

在此示例中,允许所有流量的默认安全策略用于所有设备。应为生产环境配置更严格的安全策略。请参阅安全策略概述

拓扑

图 1显示了要在此示例中为 AutoVPN 配置的 SRX 系列设备。

图 1: 基本 AutoVPN 部署与 iBGP
基本 AutoVPN 部署与 iBGP

配置

要配置 AutoVPN,请执行以下任务:

注意

第一部分介绍如何使用中心和分支设备上的简单证书注册协议(SCEP)联机获取 CA 和本地证书。

使用 SCEP 注册设备证书

分步过程

要在中心上使用 SCEP 注册数字证书:

  1. 配置 CA。
  2. 注册 CA 证书。

    类型 yes提示时,加载 CA 证书。

  3. 生成密钥对。
  4. 注册本地证书。
  5. 验证本地证书。
    user@host> show security pki local-certificate detail

分步过程

使用 SCEP 在分支单上注册数字证书1:

  1. 配置 CA。
  2. 注册 CA 证书。

    类型 yes提示时,加载 CA 证书。

  3. 生成密钥对。
  4. 注册本地证书。
  5. 验证本地证书。
    user@host> show security pki local-certificate detail
    注意

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

分步过程

在分支上使用 SCEP 注册数字证书2:

  1. 配置 CA。
  2. 注册 CA 证书。

    类型 yes提示时,加载 CA 证书。

  3. 生成密钥对。
  4. 注册本地证书。
  5. 验证本地证书。
    user@host> show security pki local-certificate detail
    注意

    "主题" 字段中显示的组织单位(OU) SLT为。集线器上的 IKE 配置包括ou=SLT识别分支。

配置中心

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置中心:

  1. 配置接口。
  2. 配置路由协议。
  3. 配置阶段1选项。
  4. 配置第2阶段选项。
  5. 配置区域。
  6. 配置默认安全策略。
  7. 配置 CA 配置文件。

结果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支1:

  1. 配置接口。
  2. 配置路由协议。
  3. 配置阶段1选项。
  4. 配置第2阶段选项。
  5. 配置区域。
  6. 配置默认安全策略。
  7. 配置 CA 配置文件。

结果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置分支2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器

要配置分支2:

  1. 配置接口。
  2. 配置路由协议。
  3. 配置阶段1选项。
  4. 配置第2阶段选项。
  5. 配置区域。
  6. 配置默认安全策略。
  7. 配置 CA 配置文件。

结果

从配置模式show interfaces,输入、 show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security pki 、、、、、、和命令以确认您的配置。 show security policies 如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证 IKE 状态

用途

验证 IKE 状态。

操作

在操作模式下,输入 show security ike sa命令时,此文件将变成活动配置。

user@host> show security ike sa

含义

show security ike sa命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段1方案参数必须与中心和分支相匹配。

验证 IPsec 状态

用途

验证 IPsec 状态。

操作

在操作模式下,输入 show security ipsec sa命令时,此文件将变成活动配置。

user@host> show security ipsec sa

含义

show security ipsec sa命令列出所有活动 IKE 第2阶段 sa。如果未列出任何 Sa,则为相位2建立问题。检查配置中 IKE 策略参数和外部接口设置。阶段2方案参数必须与中心和分支相匹配。

验证 IPsec 下一中继站隧道

用途

验证 IPsec 下一跳隧道。

操作

在操作模式下,输入 show security ipsec next-hop-tunnels命令时,此文件将变成活动配置。

user@host> show security ipsec next-hop-tunnels

含义

下一中继站网关是分支st0接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。

验证 BGP

用途

验证 BGP 是否引用分支st0接口的 IP 地址。

操作

在操作模式下,输入 show bgp summary命令时,此文件将变成活动配置。

user@host> show bgp summary