Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Group VPNv2 Server 群集

 

Group VPNv2 server 群集提供组控制器/密钥服务器(GCKS)冗余,因此整个组 VPN 网络不存在单点故障。

了解组 VPNv2 服务器群集

在组的口译域(GDOI)协议中,组控制器/密钥服务器(GCKS)管理组 VPN 安全关联(Sa),并生成加密密钥并将其分配给组成员。组成员根据 GCKS 提供的组 Sa 和密钥对流量进行加密。如果 GCKS 发生故障,组成员将无法注册或获取密钥。组 VPNv2 服务器群集提供 GCKS 冗余,因此整个组 VPN 网络不存在单点故障。Group VPNv2 server 群集还可提供负载平衡、扩展和链路冗余。

注意

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。组 VPNv2 服务器群集中的所有服务器都必须在 SRX 系列设备或 vSRX 实例上受支持。Group VPNv2 server 群集是瞻博网络专有解决方案,不与其他供应商’的 GCKS 进行互操作。

根服务器和子服务器

Group VPNv2 server 群集由一个根服务器和最多四个连接的子服务器组成。群集中的所有服务器都共享与组 VPNv2 成员一起分配的相同 SA 和加密密钥。群集中的服务器可位于不同的站点,如中图 1所示。

图 1: Group VPNv2 Server 群集
Group VPNv2 Server 群集

群集中服务器之间的消息将通过 IKE Sa 进行加密和身份验证。根服务器负责生成和分发子服务器的加密密钥;由于这种责任,建议将根服务器配置为机箱集群。子服务器是单个设备,不能是机箱集群。尽管无需在子服务器之间直接链路,但子服务器必须能够连接到根服务器。

注意

如果子服务器失去与根服务器的连接,则不允许来自组成员的子服务器进一步连接,并且 Sa 也将被删除。因此,建议使用不同的链接将每个子服务器连接到根服务器。

组 VPNv2 服务器群集使用 [ server-clusteredit security group-vpn server group-name] 层次结构级别的语句进行配置。必须为集群中的每台服务器配置以下值:

  • 服务器角色—指定root-server或。 sub-server 给定服务器可以是多个组 VPNv2 服务器群集的一部分,但必须在所有群集中具有相同的服务器角色。在一个组中的根服务器角色和另一个组中的子服务器角色中,不能配置服务器。

    注意

    您必须确保在任何时间,对于组 VPNv2 服务器群集,只有一个根服务器。

  • IKE 网—关指定在 [edit security group-vpn server ike] 层次结构级别上配置的 IKE 网关的名称。对于根服务器,IKE 网关必须是群集中的子服务器;最多可指定四个子服务器。对于子服务器,IKE 网关必须是根服务器。

    注意

    根服务器和子服务器必须使用dead-peer-detection always-send配置,并且不能配置为动态(未指定) IP 地址。组成员未配置死对等方检测。

组 VPNv2 配置在给定组中的每个子服务器上必须相同。

Group VPNv2 server 集群中的每个子服务器都作为用于注册和删除成员的正常 GCKS 运行。成功注册成员后,注册服务器将负责向成员发送更新。对于给定的组,您可以配置每个子服务器可接受的组 VPNv2 成员的最大数量;在集群中的所有子服务器上,此编号必须相同。当新成员达到配置的组 VPNv2 成员的最大数量时,子服务器停止响应其注册请求。请参阅负载平衡

使用服务器群集的组成员注册

组成员可在 Group VPNv2 server 集群中为给定组注册任何服务器,但是,建议成员仅连接到子服务器,而非根服务器。每个组成员上最多可配置四个服务器地址。组成员上配置的服务器地址可能不同。在下面显示的示例中,组成员 A 配置为子服务器1到4,而成员 B 配置为子服务器4和3:

组成员 A:

Group 成员 B:

服务器地址:

子服务器1

子服务器2

子服务器3

子服务器4

子服务器4

子服务器3

服务器地址在成员上配置的顺序至关重要。组成员尝试向第一个配置的服务器注册。如果在已配置的服务器上注册失败,该组成员会尝试向下一个配置的服务器注册。

组 VPNv2 服务器群集中的每台服务器都作为用于注册和删除成员的正常 GCKS 运行。成功注册后,注册服务器将负责通过groupkey-push交换向成员发送更新。对于给定的组,您可以配置每台服务器可接受的组成员的最大数量,但是在给定组的集群中的所有服务器上,此编号必须相同。在达到配置的最大组成员数后,服务器将停止响应新成员的注册请求。有关负载平衡其他信息,请参阅。

死对等方检测

要验证组 VPNv2 服务器群集中的对等服务器的可用性,群集中的每台服务器都必须配置为发送死对等方检测(DPD)请求,无论对等方是否存在传出 IPsec 流量。这种配置带有位于dead-peer-detection always-send [edit security group-vpn server ike gateway gateway-name] 层次结构级别的语句。

组中的活动服务器 VPNv2 server 群集将 DPD 探测发送至服务器集群中配置的 IKE 网关。不应为组配置 DPD,因为多个组可以共享同一对等服务器 IKE 网关配置。DPD 检测到服务器停机时,将删除该服务器 IKE SA。所有组将服务器标记为非活动,并且 DPD 到服务器停止。

注意

不应为组成员上的 IKE 网关配置 DPD。

当 DPD 将根服务器标记为非活动时,子服务器会停止响应新的组成员请求,但是当前组成员的现有 Sa 仍保持活动状态。非活动子服务器不会将删除发送至组成员,因为 Sa 仍然有效,而组成员可以继续使用现有 Sa。

如果一个 IKE SA 在对等服务器仍处于活动状态时过期,DPD 触发器 IKE SA 协商。由于根服务器和子服务器都可以通过 DPD 触发 IKE Sa,同时协商可能会产生多个 IKE Sa。在这种情况下,不会对服务器集群功能产生任何影响。

负载平衡

通过配置组的正确member-threshold值,可以在 Group VPNv2 server 群集中实现负载平衡。当在服务器上注册的成员数量超过member-threshold该值时,该服务器上的后续成员注册将被拒绝。成员注册故障转移至组成员上配置的下一台服务器,直到到达尚未到达的member-threshold服务器。

有关配置的member-threshold限制有两个:

  • 对于给定组,必须在组member-threshold服务器群集中的根服务器和所有子服务器上配置相同的值。如果该组中的成员总数超过配置member-threshold的值,则由新成员发起groupkey-pull的注册将被拒绝(服务器不会发送响应)。

  • 服务器可支持多个组中的成员。每台服务器都有最大数量的组成员可支持。如果服务器达到了其可支持的最大成员数量,则即使groupkey-pull尚未到达特定组的member-threshold值,也会拒绝由新成员发起的注册。

群集中的服务器之间没有成员同步。根服务器没有关于子服务器上注册成员数量的信息。每个子服务器只能显示自己的注册成员。

了解组 VPNv2 服务器群集限制

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。配置 Group VPNv2 server 群集时,请注意以下注意事项:

  • 服务器身份验证不支持证书身份验证;只能配置预共享密钥。

  • 组 VPNv2 服务器群集中的服务器之间不存在配置同步。

  • 启用组 VPNv2 服务器群集时,必须先在根服务器上执行配置,然后再在子服务器上进行。除非在服务器之间手动同步配置,否则在配置更改期间可能会丢失信息流。

  • 在某些特定的角落情况下,组 VPNv2 成员上的 Sa 可能不同步。组 VPN 成员可通过groupkey-pull交换获取新密钥来同步 sa。您可以使用clear security group-vpn member ipsec security-associationsclear security group-vpn member group命令在组 VPNv2 成员上手动清除 SAs,以帮助加速恢复。

  • Group VPNv2 server 群集不支持 ISSU。

  • 如果最后groupkey-pull一条消息在组 VPNv2 成员’注册期间丢失,即使该成员可能故障转移到服务器群集中的下一台服务器,服务器也可能认为该成员是注册成员。在这种情况下,相同成员可能会在多台服务器上注册。如果所有服务器上的总成员阈值等于已部署的总成员数,则后续组成员可能无法注册。

请注意以下有关根服务器上的机箱集群操作的注意事项:

  • 不保留任何统计信息。

  • 不保存任何协商数据或状态。如果在 a groupkey-pullgroupkey-push协商过程中发生根服务器机箱集群故障转移,则在故障转移之后不会重新启动协商。

  • 如果一个根服务器的两个机箱集群节点在加密密钥重新加密期间停机,则一些组 VPNv2 成员可能会收到新密钥,而其他成员则不会。流量可能会受到影响。使用clear security group-vpn member ipsec security-associationsclear security group-vpn member group命令手动清除组 VPNv2 成员上的 sa 可能有助于在根服务器变为可到达时加速恢复。

  • 在大规模环境中,在根服务器上的 RG0 故障切换可能需要一定的时间。如果子服务器上的 DPD 间隔和阈值配置了较小的值,则会导致子服务器在 RG0 故障转移期间将根服务器标记为非活动状态。流量可能会受到影响。建议使用 DPD 配置子服务器的 IKE 网关 interval * threshold大于150秒的值。

了解组 VPNv2 服务器群集消息

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。组 VPNv2 服务器群集中的服务器之间的所有消息都通过 IKE 安全关联(SA)进行加密和身份验证。每个子服务器都使用根服务器启动 IKE SA;必须先建立此 IKE SA,然后才能在服务器之间交换消息。

本节介绍在根服务器和子服务器之间交换的消息。

群集交换

图 2显示了在 Group VPNv2 server 群集和 Group VPNv2 成员之间交换的基本消息。

图 2: Group VPNv2 Server 群集消息
Group VPNv2 Server 群集消息

群集初始化交换

子服务器启动与根服务器的群集初始化cluster-init()交换,以获取 SA 和加密密钥信息。根服务器通过cluster-init交换将当前 SA 信息发送至子服务器,做出响应。

然后,子服务器可以通过groupkey-pull交换响应来自 Group VPNv2 成员的注册请求。groupkey-pull Exchange 允许组 VPNv2 成员从子服务器请求该组共享的 sa 和密钥。

在以下情况下, cluster-init子服务器与根服务器开始交换:

  • 根服务器被视为不活动。这是根服务器的初始假定状态。如果根服务器和子服务器之间没有 IKE SA,子服务器将使用根服务器启动 IKE SA。成功cluster-init交换后,子服务器将获取有关 sa 的信息,并将根服务器标记为活动。

  • SA 的软生命周期已过期。

  • 收到cluster-update消息以删除所有 sa。

  • 组配置发生变化。

如果cluster-init exchange 发生故障,子服务器将每隔5秒重试一次与根服务器的交换。

集群更新消息

groupkey-push Exchange 是一条重新生成密钥消息,允许组控制器/关键服务器(GCKS)在现有组 sa 到期之前向成员发送组 sa 和密钥,并更新组成员资格。Rekey 的消息是 GCKS 向成员发送的未经请求的消息

为 SA 生成新的加密密钥时,根服务器将通过cluster-update消息向所有活动子服务器发送 SA 更新。cluster-update从根服务器接收后,子服务器将安装新 sa,并将新的 sa 信息发送至其注册的groupkey-push组成员。

cluster-update根服务器发送的消息需要从子服务器确认。如果没有从子服务器收到任何确认,根服务器将cluster-update在配置的重新传输时间段(默认值为10秒)内重新传输。如果死方检测(DPD)指示子服务器不可用,则根服务器不会重新传输。如果子服务器在接收后未能更新 SA 信息cluster-update,则不会发送确认,并且根服务器将重新传输cluster-update消息。

如果 SA 的软生命周期在从根服务器接收新 SA 之前到期,则子服务器会将cluster-init消息发送至根服务器以获取所有 sa,并且不向其成员发送groupkey-push消息,直到其具有新更新。如果 SA 的硬生命周期在子服务器在接收新 SA 之前过期,则子服务器将根服务器标记为非活动状态,删除所有注册的组成员,并继续发送 cluster-init消息发送到根服务器。

可以cluster-update发送消息以删除 SA 或组成员;这可能是clear命令或配置更改造成的。如果子服务器收到删除 SA 的cluster-update消息,则会将groupkey-push删除消息发送至其组成员,并删除相应的 sa。如果一个组的所有 Sa 都已删除,则该子服务器将与cluster-init根服务器建立交换。如果所有注册成员均已删除,则子服务器将删除所有本地注册成员。

了解组 VPNv2 服务器群集的配置更改

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。当存在导致新加密密钥和安全关联(Sa)更改的配置更改时,组 VPNv2 服务器群集的行为与独立组 VPNv2 服务器不同。根服务器通过cluster-update消息向子服务器发送 SA 更新或删除。然后,子服务器会向groupkey-push成员发送消息。如果不先从根服务器接收删除消息,子服务器将无法向组成员发送删除消息。

注意

必须先在根服务器上或子服务器上进行所有配置更改,以确保组成员按预期接收更新或删除。除非在组 VPNv2 服务器群集中的服务器之间同步配置,否则流量会丢失。

表 1介绍了组 VPNv2 服务器上各种配置更改的影响。

表 1: 配置更改对组 VPNv2 服务器的影响

配置更改

独立组 VPNv2 服务器操作

Group VPNv2 Server 群集操作

根服务器

子服务器

更改 IKE 建议、策略或网关

删除受影响网关的 IKE SA。对于 IKE 建议、策略或网关删除,删除受影响网关的注册成员。

更改 IPsec 建议

更改会在流量加密密钥(TEK) rekey 后生效。

组更改:

删除组名称

向“组成员”发送全部删除。删除该组中的所有 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。

对“子服务器”全部发送全部删除。立即删除该组中的所有密钥。将所有对等方标记为非活动。删除子服务器 IKE Sa。删除所有成员 IKE Sa。

删除所有成员 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。标记对等非活动状态。删除对等服务器 IKE Sa。

变更 ID

对“所有成员”全部发送全部删除。删除该组中的所有 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。根据配置生成新密钥。

对”子服务器”全部发送全部删除。删除该组中的所有成员 IKE Sa。立即删除该组中的所有密钥。将所有对等方标记为非活动。删除所有对等服务器 IKE Sa。根据配置生成新密钥。

删除该组中的所有成员 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。标记对等非活动状态。删除对等服务器 IKE Sa。发起新cluster-init的交换。

添加或删除 IKE 网关

无需添加变更。对于删除,删除受影响网关的 IKE SA 和注册成员。

添加或更改防重播时间窗口

新值在 TEK rekey 后生效。

添加或更改无抗重播

新值在 TEK rekey 后生效。

服务器成员通信更改:

删除所有注册成员。生成密钥加密密钥(KEK) SA。

生成 KEK SA。向子服务器发送新的 KEK SA。删除所有成员 IKE Sa。

删除所有注册成员。

改动

新值在 KEK rekey 后生效。

删除

发送 delete 以删除所有 KEK Sa。删除 KEK SA。

将删除发送至子服务器。删除 KEK SA。删除所有成员 IKE Sa。

删除 KEK SA。

IPsec SA:

生成新的 TEK SA。更新成员上的新 TEK SA。

生成新的 TEK SA。向子服务器发送新的 TEK SA。

无操作。

改动

新值在 TEK rekey 后生效。

如果匹配策略发生变化,则会立即卸下当前 TEK,并会删除 groupkey,因为成员需要明确通知此配置已被删除。

如果匹配策略发生变化,请将 delete 发送至子服务器。立即删除 TEK。

如果匹配策略发生变化,请立即删除 TEK。

删除

立即删除 TEK。发送删除以删除此 TEK SA。

将删除发送至子服务器。立即删除 TEK。

立即删除 TEK。

表 2介绍更改组 VPNv2 服务器群集配置的影响。

注意

您必须确保在任何时候服务器集群中都只有一个根服务器。

表 2: 组 VPNv2 服务器群集配置更改的影响

服务器群集配置更改

Group VPNv2 Server 群集

根服务器

子服务器

IKE 建议、策略或网关(群集对等方)

对于新增功能,没有变化。对于变更或删除,请删除受影响的对等方的 IKE SA。

服务器群集:

无。

向“组成员”发送全部删除。删除该组中的所有成员 IKE Sa。立即删除该组中的所有 TEKs 和 KEKs。删除该组中的所有注册成员。发送cluster-init至 root 服务器。

更改角色

注意: 您必须确保在任何时候服务器集群中都只有一个根服务器。

对“子服务器”全部发送全部删除。删除该组中的所有成员 IKE Sa。立即删除该组中的所有 TEKs 和 KEKs。将所有对等方标记为非活动。删除所有对等服务器 IKE Sa。发送cluster-init至 root 服务器。

Rekey TEK。Rekey KEK。向子服务器发送新密钥。向成员发送新密钥。

添加对等

无。

删除对等方

标记对等非活动状态。清除对等方 IKE SA。

标记对等非活动状态。清除 KEK。清除 TEK。清除对等方 IKE SA。

更改重新传输周期

无。

删除服务器群集

对“子服务器”全部发送全部删除。立即删除该组中的所有 TEKs 和 KEKs。将所有对等方标记为非活动。删除所有对等服务器 IKE Sa。根据配置生成新 TEKs 和 KEKs。

删除该组中的所有成员 IKE Sa。立即删除该组中的所有 TEKs 和 KEKs。删除该组中的所有注册成员。标记对等非活动状态。删除对等服务器 IKE Sa。根据配置生成新 TEK 和 KEK。

将独立的组 VPNv2 服务器迁移到组 VPNv2 服务器群集

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。本节介绍如何将独立的组 VPNv2 服务器迁移到 Group VPNv2 服务器群集。

要将独立的组 VPNv2 服务器迁移到根服务器:

注意

强烈建议将根服务器作为机箱集群。

  1. 将独立的组 VPNv2 服务器升级到机箱集群。详细信息,请参阅机箱集群用户指南,了解 SRX 系列设备注意

    在将独立 SRX 系列设备升级到机箱群集节点时,需要重新启动。需要信息流丢失。

  2. 在机箱集群上,添加组 VPNv2 服务器群集根服务器配置。为群集配置的服务器角色必须为root-server

    配置更改期间,现有组成员之间不应存在信息流损失。

要将子服务器添加到 Group VPNv2 server 群集:

  1. 在根服务器上,为子服务器配置 Group VPNv2 server IKE 网关和服务器群集 IKE 网关。Sa 和现有成员流量不应受到影响。
  2. 在子服务器上配置服务器群集。请记住,群集中每个服务器上的组 VPNv2 配置必须相同,但组 VPNv2 服务器 IKE 网关、群集中的服务器角色以及服务器群集 IKE 网关配置除外。在子服务器上,群集中配置的服务器角色必须为sub-server。为根服务器配置组 VPNv2 服务器 IKE 网关和服务器群集 IKE 网关。

要从 Group VPNv2 server 群集中删除子服务器:

  1. 在根服务器上,同时删除 Group VPNv2 server IKE 网关和服务器群集 IKE 子服务器的网关配置。Sa 和现有成员流量不应受到影响。
  2. 关闭子服务器的电源。

示例:配置组 VPNv2 服务器群集和成员

此示例演示如何将 Group VPNv2 server 群集配置为提供组控制器/密钥服务器(GCKS)冗余和扩展到组 VPNv2 组成员。组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。

要求

该示例使用以下硬件和软件组件:

  • 在支持组 VPNv2 的 D30 或更高版本中,运行了八个受支持的 SRX 系列设备或 vSRX 实例 Junos OS Release 15.1:

    • 两个设备或实例配置为作为一个机箱集群运行。机箱集群作为 root 服务器在 Group VPNv2 server 群集中运行。设备或实例必须具有相同的软件版本和许可。

      注意

      根服务器负责在组 VPN 服务器群集的子服务器上生成和分配加密密钥;鉴于这种责任,建议将根服务器作为机箱集群。

    • 其他四个设备或实例作为子服务器在 Group VPNv2 server 群集中运行。

    • 另两个设备或实例作为组 VPNv2 组成员运行。

  • 运行 Junos OS Release 15.1 r r 2 或更高版本(支持 Group VPNv2)的两个受支持的 MX 系列设备。这些设备作为组 VPNv2 组成员运行。

必须在每个 SRX 系列设备或 vSRX 实例上配置主机名、根管理员密码和管理访问。建议同时在每个设备上配置 NTP。

注意

此示例中的配置基于中图 3所示的拓扑,专注于组 VPNv2 操作所需的内容。某些配置(例如接口、路由或机箱集群设置)不包含在此处。例如,Group VPNv2 操作需要一个工作路由拓扑,允许客户端设备在整个网络中到达其预定站点;此示例未涵盖静态或动态路由的配置。

概述

在此示例中,Group VPNv2 网络由一个服务器群集和四个成员组成。服务器群集由一个根服务器和四个子服务器组成。两个成员是 SRX 系列设备或 vSRX 实例,而另两个成员是 MX 系列设备。

组 VPN Sa 必须受相位 1 SA 保护。因此,组 VPN 配置必须包括配置根服务器、子服务器和组成员上 IKE 阶段1协商。IKE 配置如下所述。

在根服务器上:

  • IKE 策略SubSrv用于为每个子服务器建立第1阶段 sa。

  • IKE 网关配置了每个子服务器的死对等检测(DPD)。

  • 服务器群集角色是root-server ,每个子服务器都配置为服务器群集的 IKE 网关。

注意

应将根服务器配置为支持机箱集群操作。在本例中,root 服务器上的冗余以太网接口连接到服务器集群中的每个子服务器;不显示整个机箱集群配置。

在每个子服务器上:

  • 配置了两个 IKE 策略:RootSrv用于与根服务器建立阶段 1 SA,并GMs用于为每个组成员建立第1阶段 sa。

    注意

    预共享密钥用于保护根服务器和子服务器之间以及子服务器与组成员之间的阶段 1 Sa 的安全。确保使用的预共享密钥为强密钥。在子服务器上,为 IKE 策略RootSrv配置的预共享密钥必须与根服务器上配置的预共享密钥匹配,并且为 IKE 策略GMs配置的预共享密钥必须与组成员上配置的预共享密钥匹配。

  • 使用 DPD 配置根服务器的 IKE 网关。此外,还为每个组成员配置了 IKE 网关。

  • 服务器群集角色是将sub-server根服务器配置为服务器群集的 IKE 网关。

每个组成员上:

  • IKE 策略SubSrv用于与子服务器建立第1阶段 sa。

  • IKE 网关配置包括子服务器的地址。

在 SRX 系列设备上或 vSRX 组成员上,IPsec 策略配置为将 LAN 区域作为源区域(传入流量),并将 WAN 区域作为到区域(传出信息流)的组。还需要一种安全策略,以允许 LAN 和 WAN 区域之间的流量。

必须同时在组服务器和组成员上配置相同的组标识符。在此示例中,组名称为 GROUP_ID-0001,组标识符为1。在服务器上配置的组策略指定 SA 和密钥应用于 172.16.0.0/12 范围子网之间的流量。

拓扑

图 3显示了要为此示例配置的瞻博网络设备。

图 3: 使用 SRX 系列或 vSRX 和 MX 系列成员的 Group VPNv2 Server 群集
使用 SRX 系列或 vSRX 和 MX 系列成员的 Group VPNv2 Server 群集

配置

配置根服务器

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置根服务器:

  1. 配置安全区域和安全策略。
  2. 配置机箱集群。
  3. 配置 IKE 建议、策略和网关。
  4. 配置 IPsec SA。
  5. 配置 VPN 组。
  6. 配置组策略。

结果

从配置模式,输入show interfacesshow chassis clustershow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置子服务器1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要在 Group VPNv2 server 群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置 VPN 组。
  5. 配置组策略。

结果

在配置模式下,输入show interfacesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置子服务器2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要在 Group VPNv2 server 群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置 VPN 组。
  5. 配置组策略。

结果

在配置模式下,输入show interfacesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置子服务器3

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要在 Group VPNv2 server 群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置 VPN 组。
  5. 配置组策略。

结果

在配置模式下,输入show interfacesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置子服务器4

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要在 Group VPNv2 server 群集中配置子服务器:

  1. 配置接口、安全区域和安全策略。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置 VPN 组。
  5. 配置组策略。

结果

在配置模式下,输入show interfacesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置 GM-0001 (SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置 IPsec 策略。

结果

在配置模式下,输入show interfacesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置 GM-0002 (SRX 系列设备或 vSRX 实例)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置组 VPNv2 成员:

  1. 配置接口、安全区域和安全策略。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置 IPsec 策略。

结果

在配置模式下,输入show interfacesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置 GM-0003 (MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置组 VPNv2 成员:

  1. 配置接口。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置服务过滤器。
  5. 配置服务集。

结果

从配置模式, show interfaces输入、 show securityshow services、和show firewall命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

配置 GM-0004 (MX 系列设备)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置组 VPNv2 成员:

  1. 配置接口。
  2. 配置 IKE 建议、策略和网关。
  3. 配置 IPsec SA。
  4. 配置服务过滤器。
  5. 配置服务集。

结果

从配置模式, show interfaces输入、 show securityshow services、和show firewall命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证服务器群集操作

用途

验证服务器集群中的设备是否识别组中的对等服务器。确保服务器处于活动状态,并且群集中的角色分配正确。

操作

在操作模式下,在show security group-vpn server server-clustershow security group-vpn server server-cluster detail服务器上show security group-vpn server statistics输入、和命令。

user@RootSrv> show security group-vpn server server-cluster
user@RootSrv> show security group-vpn server server-cluster detail
user@RootSrv> show security group-vpn server statistics

在操作模式下,在show security group-vpn server server-clustershow security group-vpn server server-cluster detail个子服务器show security group-vpn server statistics上输入、和命令。

user@SubSrv01> show security group-vpn server server-cluster
user@SubSrv01> show security group-vpn server server-cluster detail
user@SubSrv01> show security group-vpn server statistics

验证 SAs 是否分配给成员

用途

验证子服务器已收到用于向组成员分发的 Sa,并且组成员已收到 Sa。

操作

从操作模式中输入根show security group-vpn server kek security-associations服务器show security group-vpn server kek security-associations detail上的和命令。

user@RootSrv> show security group-vpn server kek security-associations
user@RootSrv> show security group-vpn server kek security-associations detail

在操作模式中,输入show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail个子服务器上的和命令。

user@SubSrv01> show security group-vpn server kek security-associations
user@SubSrv01> show security group-vpn server kek security-associations detail

在操作模式下,输入show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail个组成员上的和命令。

对于 SRX 或 vSRX 组成员:

user@GM-0001> show security group-vpn server kek security-associations
user@GM-0001> show security group-vpn server kek security-associations detail

对于 MX 组成员:

user@GM-0003> show security group-vpn member kek security-associations
user@GM-0003> show security group-vpn member kek security-associations detail

验证服务器上的 IKE Sa

用途

显示服务器上 IKE 安全关联(Sa)。

操作

从操作模式中输入根show security group-vpn server ike security-associations服务器show security group-vpn server ike security-associations detail上的和命令。

user@RootSrv> show security group-vpn server ike security-associations
user@RootSrv> show security group-vpn server ike security-associations detail

在操作模式中,输入show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detail个子服务器上的和命令。

user@SubSrv01> show security group-vpn server ike security-associations
user@SubSrv01> show security group-vpn server ike security-associations detail

验证服务器和组成员上的 IPsec Sa

用途

在服务器和组成员上显示 IPsec 安全关联(Sa)。

操作

从操作模式中输入根show security group-vpn server ipsec security-associations服务器show security group-vpn server ipsec security-associations detail上的和命令。

user@RootSrv> show security group-vpn server ipsec security-associations
user@RootSrv> show security group-vpn server ipsec security-associations detail

在操作模式中,输入show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail个子服务器上的和命令。

user@SubSrv01> show security group-vpn server ipsec security-associations
user@SubSrv01> show security group-vpn server ipsec security-associations detail

在操作模式下,输入show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail个组成员上的和命令

对于 SRX 或 vSRX 组成员:

user@GM-0001> show security group-vpn member ipsec security-associations
user@GM-0001> show security group-vpn member ipsec security-associations detail

对于 MX 组成员:

user@GM-0003> show security group-vpn member ipsec security-associations
user@GM-0003> show security group-vpn member ipsec security-associations detail

验证组成员的 IPsec 策略

用途

在 SRX 或 vSRX 组成员上显示 IPsec 策略。

注意

此命令不可用于 MX 系列组成员。

操作

在操作模式下,输入 show security group-vpn member policySRX 或 vSRX 组成员上的命令。

user@GM-0001> show security group-vpn member policy

相关主题