Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

IPsec VPN 配置概述

 

VPN 连接可链接两个 Lan (站点到站点 VPN)或远程拨号用户和 LAN。在这两个点之间流动的信息流通过共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)传递。在两个参与者设备之间创建 IPsec 通道以保护 VPN 通信。

具有 Autokey IKE 配置的 IPsec VPN 概述

IPsec VPN 协商分两个阶段进行。在第1阶段,参与者建立了一个用于协商 IPsec 安全关联(SA)的安全通道。在第2阶段,参与者协商 IPsec SA 以验证将流经隧道的信息流。

本概述介绍使用 autokey IKE (预共享密钥或证书)配置基于路由或基于策略的 IPsec VPN 的基本步骤。

要使用 autokey IKE 配置基于路由或基于策略的 IPsec VPN:

  1. 配置接口、安全区域和通讯簿信息。

    (用于基于路由的 Vpn)配置安全隧道 st0 接口。在设备上配置路由。

  2. 配置 IPsec VPN 隧道的第1阶段。
    1. 必配置自定义 IKE 阶段1建议。此步骤是可选的,因为您可以使用预定义 IKE 阶段1建议集(标准、兼容或基本)。
    2. 配置 IKE 策略,它引用您的自定义 IKE 阶段1建议或预定义的 IKE 阶段1建议集。指定 autokey IKE 预共享密钥或证书信息。为阶段1交换指定模式(主或主动)。
    3. 配置引用 IKE 策略的 IKE 网关。指定本地和远程设备的 IKE Id。如果远程网关的 IP 地址未知,请指定如何识别远程网关。
  3. 配置 IPsec VPN 隧道的第2阶段。
    1. 必配置自定义 IPsec 阶段2建议。此步骤是可选的,因为您可以使用预定义的 IPsec 阶段2建议集(标准、兼容或基本)。
    2. 配置引用您的自定义 IPsec 阶段2建议或预定义 IPsec 阶段2建议集的 IPsec 策略。指定完全向前保密(PFS)密钥。
    3. 配置同时引用 IKE 网关和 IPsec 策略的 IPsec VPN 隧道。指定要在阶段2协商中使用的代理 Id。

      (用于基于路由的 Vpn)将安全通道接口 st0 x 绑定到 IPsec VPN 隧道。

  4. 配置安全策略以允许从源区域到目标区域的信息流。

    (用于基于策略的 Vpn)使用您配置的 IPsec tunnel ipsec-vpn VPN 隧道的名称指定安全策略操作。

  5. 更新您的全局 VPN 设置。

带手动键的 IPsec VPN 配置概述

本概述介绍了使用手动密钥配置基于路由或基于策略的 IPsec VPN 的基本步骤。

要使用手动密钥配置基于路由或基于策略的 IPsec VPN:

  1. 配置接口、安全区域和通讯簿信息。

    (用于基于路由的 Vpn)配置路由。配置安全隧道 st0 接口。

  2. 通过指定以下参数来配置 IPsec VPN 隧道:
    • 身份验证算法和密钥

    • 加密算法和密钥

    • 输出接口

    • 对等方的 IP 地址

    • 用于安全关联的 IPsec 协议

    • 安全参数索引

    (用于基于路由的 Vpn)将安全通道接口 st0 x 绑定到 IPsec VPN 隧道。

  3. 将安全策略配置为允许从源区域到目标区域的信息流。

    (用于基于策略的 Vpn)使用您配置的 IPsec tunnel ipsec-vpn VPN 隧道的名称指定安全策略操作。

表 1列出了两个具有静态 IP 地址的安全设备之间的通用站点到站点 VPN 的配置选项。VPN 可以是基于路由或基于策略的。

配置选项

评论

IKE 配置选项:

带证书的 Autokey IKE

建议不要使用手动密钥。

主模式

当对等方有静态 IP 地址时使用。

RSA 或 DSA 证书

可以在本地设备上使用 RSA 或 DSA 证书。指定对等方上的证书类型(PKCS7 或 x.509)。

Diffie-hellman (DH)组14

与 DH 组1、2或5相比,DH 组14提供更高的安全性。

高级加密标准(AES)加密

当密钥长度相等时,AES 的加密比数据加密标准(DES)和三重 DES (3DES)强。经批准的联邦信息处理标准(FIPS)和通用标准 EAL4 标准加密算法。

安全哈希算法256(SHA-256)身份验证

与 SHA-1 或消息摘要5(MD5)相比,SHA-256 提供更多的加密安全。

IPsec 配置选项:

完全向前保密(PFS) DH 组14

PFS DH 组14提供了更高的安全性,因为对等机器会执行第二次 DH 交换,以生成用于 IPsec 加密和解密的密钥。

封装安全有效负载(ESP)协议

ESP 通过加密以及通过身份验证的原始 IP 数据包和完整性的封装提供机密性。

AES 加密

当密钥长度相等时,AES 比 DES 和3DES 的加密方式强。经批准的 FIPS 加密算法和通用标准 EAL4 标准。

SHA-256 身份验证

与 SHA-1 或 MD5 相比,SHA-256 提供更多的加密安全。

反重放保护

默认情况下启用。禁用此功能可能解决与第三方对等端的兼容性问题。

另请参阅

表 2列出了通用站点到站点或拨号 VPN 的配置选项,其中对等设备具有动态 IP 地址。

配置选项

评论

IKE 配置选项:

带证书的 Autokey IKE

建议不要使用手动密钥。

主模式

与证书一起使用。

2048位证书

可以使用 RSA 或 DSA 证书。指定要在本地设备上使用的证书。指定对等方上的证书类型(PKCS7 或 x.509)。

Diffie-hellman (DH)组14

与 DH 组1、2或5相比,DH 组14提供更高的安全性。

高级加密标准(AES)加密

当密钥长度相等时,AES 的加密比数据加密标准(DES)和三重 DES (3DES)强。经批准的联邦信息处理标准(FIPS)和通用标准 EAL4 标准加密算法。

安全哈希算法256(SHA-256)身份验证

与 SHA-1 或消息摘要5(MD5)相比,SHA-256 提供更多的加密安全。

IPsec 配置选项:

完全向前保密(PFS) DH 组14

PFS DH 组14提供了更高的安全性,因为对等机器会执行第二次 DH 交换,以生成用于 IPsec 加密和解密的密钥。

封装安全有效负载(ESP)协议

ESP 通过加密以及通过身份验证的原始 IP 数据包和完整性的封装提供机密性。

AES 加密

当密钥长度相等时,AES 比 DES 和3DES 的加密方式强。经批准的 FIPS 加密算法和通用标准 EAL4 标准。

SHA-256 身份验证

与 SHA-1 或 MD5 相比,SHA-256 提供更多的加密安全。

反重放保护

默认情况下启用。禁用此项可能会解决与第三方对等端的兼容性问题。

另请参阅

了解带动态端点的 IPsec Vpn

概述

IPsec VPN 对等方可以拥有一个 IP 地址,而与之建立 VPN 连接的对等方不会知道这一点。例如,对等方可以拥有通过动态主机配置协议(DHCP)动态分配的 IP 地址。对于分支机构或家庭办公室中的远程接入客户端或在不同物理位置之间移动的移动设备,可能会出现这种情况。或者,对等方可位于 NAT 设备后面,将对等方’的原始源 IP 地址转换为不同的地址。具有未知 IP 地址的 VPN 对等方称为动态端点,与动态端点建立的 vpn 称为动态端点 VPN

在 SRX 系列设备上,具有动态端点 Vpn 支持 IKEv1 或 IKEv2。SRX 系列设备上的动态端点 Vpn 支持安全隧道上的 IPv4 流量。 从 Junos OS Release 15.1 X 49-D80,SRX 系列设备上的动态端点 Vpn 支持安全隧道上的 IPv6 流量。

注意

AutoVPN 网络不支持 IPv6 流量。

以下各节介绍使用动态端点配置 VPN 时应注意的事项。

IKE 身份

在动态端点上,必须为设备配置 IKE 标识,才能将自身标识为其对等方。在对等方上验证动态端点的本地标识。默认情况下,SRX 系列设备预期 IKE 标识为以下之一:

  • 使用证书时,可使用可分辨名称(DN)识别用户或组织。

  • 用于识别端点的主机名或完全限定域名(FQDN)。

  • 用户完全合格的域名称(UFQDN),也称为用户主机名。这是遵循电子邮件地址格式的字符串。

IKEv1 策略的主动模式

当 IKEv1 与动态端点 Vpn 一起使用时,必须将 IKE 策略配置为主动模式。IKEv2 不使用主动模式,因此您可以在将 IKEv2 与动态端点 Vpn 一起使用时配置 main 或主动模式。

IKE 策略和外部接口

从 Junos OS Release 12.3 X48-D40、Junos OS 版本 15.1 X 49-D 70 和 Junos OS 版本 17.3 R1,在使用相同外部接口的 SRX 系列设备上配置的所有动态端点网关都可以使用不同 IKE 策略,但 IKE 策略必须使用相同的 IKE 建议。 这适用于 IKEv1 和 IKEv2。

NAT

如果动态端点位于 NAT 设备后面,则必须在 SRX 系列设备上配置 NAT T。在 VPN 对等方之间的连接期间,可能需要 NAT 激活来保持 NAT 转换。默认情况下,NAT-T 在 SRX 系列设备上启用,NAT 激活以20秒的间隔发送。

组和共享 IKE Id

您可以为每个动态端点配置单独的 VPN 通道。对于 IPv4 动态端点 Vpn,您可以使用 group IKE ID 或共享 IKE ID 功能,以允许大量动态端点共享 IKE 网关配置。

Group IKE ID 允许您为所有动态端点(如“example.net)定义完整 IKE ID 的共同组成部分。”用户特定的部分(例如用户名“Bob)”连接到公共部件构成一个完整的 IKE ID (Bob.example.net),唯一标识每个用户连接。

共享 IKE ID 允许动态端点共享单个 IKE ID 和预共享密钥。

了解 IKE 身份配置

IKE 标识(IKE ID)用于在 IKE 协商期间验证 VPN 对等设备。由 SRX 系列设备从远程对等方收到的 IKE ID 可以是 IPv4 或 IPv6 地址、主机名、完全限定域名(FQDN)、用户 FQDN (UFQDN)或可分辨名称(DN)。由远程对等方发送的 IKE ID 需要与 SRX 系列设备所期望的一致。否则,IKE ID 验证将失败,VPN 将不会建立。

IKE ID 类型

SRX 系列设备支持远程对等方的以下类型的 IKE 身份:

  • IPv4 或 IPv6 地址通常用于站点到站点 Vpn,其中远程对等方具有静态 IP 地址。

  • 主机名是用于识别远程对等系统的字符串。这可以是解析为 IP 地址的 FQDN。它也可以是部分 FQDN,与 IKE 用户类型结合使用,用于识别特定远程用户。

    注意

    配置主机名而不是 IP 地址时,已提交配置和随后的通道建立基于当前解析的 IP 地址。如果远程对等’方 IP 地址发生变化,则配置不再有效。

  • UFQDN 是遵循与电子邮件地址相同格式的字符串,例如user@example.com

  • DN 是一种与数字证书一起使用的名称,用于唯一标识用户。例如,DN 可以是“CN = USER,dc = 范例,dc = com。”或者,您可以使用container关键字来指定 dn 中字段的顺序和它们的值与配置的 DN 完全匹配,或者使用wildcard关键字指定 dn 中的字段值必须匹配,但字段的顺序无关紧要。

    从 Junos OS Release 19.4 R1 开始,您现在可以在container-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name]层次结构和层级中配置一个动态 DN 属性。如果您在配置第一个属性之后尝试配置第二个属性,则第一个属性将替换为第二个属性。升级设备之前,如果已配置两个属性,则必须卸下其中一个属性。

  • 当多个远程对等方连接到 SRX 系列设备上的同一 VPN 网关时,IKE 用户类型可与 AutoVPN 和远程接入 Vpn 一起使用。配置ike-user-type group-ike-id以指定组 IKE id 或ike-user-type shared-ike-id指定共享 IKE ID。

远程 IKE IDs 和站点到站点 Vpn

对于站点到站点 Vpn,远程对等方’IKE ID 可以是出口网络接口卡、回传地址、主机名或手动配置 IKE ID 的 IP 地址,具体取决于对等设备的配置。

默认情况下,SRX 系列设备期望远程对’等方 IKE ID 是配置配置的 IP 地址set security ike gateway gateway-name address 。如果远程对等’方 IKE ID 的值不同,则需要在 [ remote-identityedit security ike gateway gateway-name] 层次结构级别配置语句。

例如,使用set security ike gateway remote-gateway address 203.0.113.1命令配置 SRX 系列设备上的 IKE 网关。但是,由远程对等方发送的 IKE ID host.example.net为。SRX 系列设备需要用于远程对等方’IKE ID (203.0.113.1)和实际 IKE ID (host.example.net)发送方的情况之间存在不匹配。在这种情况下,IKE ID 验证将失败。使用set security ike gateway remote-gateway remote-identity hostname host.example.net可匹配从远程对等方接收的 IKE ID。

远程 IKE IDs 和动态端点 Vpn

对于动态端点 Vpn,IKE ID 所’需的远程对等方使用 [edit security ike gateway gateway-name dynamic] 层次结构级别的选项进行配置。对于 AutoVPN, hostnameike-user-type group-ike-id可在存在多个具有公共域名的对等方一起使用。如果证书用于验证对等方,则可配置 DN。

SRX 系列设备的本地 IKE ID

默认情况下,SRX 系列设备将其外部接口的 IP 地址用作远程对等方的 IKE ID。通过在 [ local-identityedit security ike gateway gateway-name] 层次结构级别配置语句,可覆盖此 IKE ID。如果您需要在 SRX 系列设备local-identity上配置语句,请确保配置的 IKE ID 与远程对等方期望的 IKE id 相匹配。

为站点到站点 Vpn 配置远程 IKE Id

默认情况下,SRX 系列设备会验证从对等方收到的 IKE ID 以及为 IKE 网关配置的 IP 地址。在某些网络设置中,从对等方收到的 IKE ID (可以是 IPv4 或 IPv6 地址、完全限定域名 [FQDN]、可分辨名称或电子邮件地址)与 SRX 系列设备上配置的 IKE 网关不匹配。这可能导致第1阶段验证失败。

要修改 SRX 系列设备或对等设备的配置以获取使用的 IKE ID:

  • 在 SRX 系列设备上,在 [ remote-identityedit security ike gateway gateway-name] 层次结构级别配置语句,以匹配从对等方收到的 IKE ID。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。

    注意

    如果未配置remote-identity,则设备将使用与远程对等方默认对应的 IPv4 或 IPv6 地址。

  • 在对等设备上,确保 IKE ID 与 SRX 系列设备上remote-identity配置的相同。如果对等设备是 SRX 系列设备,请在 [ local-identityedit security ike gateway gateway-name] 层次结构级别配置该语句。值可以是 IPv4 或 IPv6 地址、FQDN、可分辨名称或电子邮件地址。

了解 SRX 系列设备上的 OSPF 和 OSPFv3 身份验证

OSPFv3 没有内置身份验证方法,依赖 IP 安全(IPsec)套件来提供此功能。IPsec 提供原始身份验证、数据完整性、机密性、重放保护和来源的不可否认性。您可以使用 IPsec 保护特定 OSPFv3 接口和虚拟链路,并为 OSPF 数据包提供加密。

OSPFv3 使用 IPsec 协议的 IP 身份验证标头(AH)和 IP 封装式安全有效负载(ESP)部分来验证对等方之间的路由信息。AH 可提供无连接完整性和数据源身份验证。它还提供对重播的保护。AH 尽可能多地验证 IP 标头以及高级协议数据。但是,某些 IP 标头字段可能会在传输过程中发生变化。由于这些字段的值可能无法由发件人预测,因此不能受到 AH 保护。ESP 可提供加密和有限流量流机密性或无连接完整性、数据源身份验证和反重播服务。

IPsec 基于安全关联(Sa)。SA 是一组 IPsec 规格,在建立 IPsec 关系的设备之间进行协商。这种单连接为 SA 提供安全服务。这些规格包括建立 IPsec 连接时要使用的身份验证、加密和 IPsec 协议类型的首选项。SA 用于在一个方向上对特定流进行加密和身份验证。因此,在正常的双向流量中,流由一对 Sa 加以保护。要与 OSPFv3 一起使用的 SA 必须手动配置,并使用传输模式。静态值必须在 SA 的两端配置。

要为 OSPF 或 OSPFv3 配置 IPsec,请先使用 [ security-association sa-nameedit security ipsec] 层次结构级别的选项定义一个手动 SA。此功能仅在传输模式中支持双向手动密钥 Sa。手动 Sa 不需要对等方进行协商。所有值(包括密钥)都是静态的,并在配置中指定。手动 Sa 静态定义要使用的安全参数索引(SPI)值、算法和密钥,并要求两个端点上的匹配配置(OSPF 或 OSPFv3 对等)。因此,每个对等方都必须具有相同的配置选项才能进行通信。

加密和身份验证算法的实际选择留给您的 IPsec 管理员进行。但是,我们有以下建议:

  • 使用具有 null 加密的 ESP 向协议标头提供身份验证,但不向 IPv6 标头、扩展标头和选项供电。对于 null 加密,您选择不在协议标头上提供加密。对于故障排除和调试,这可能很有用。有关 null 加密的详细信息,请参阅 RFC 2410 NULL 加密算法及其与 IPsec 的配合使用.

  • 使用 DES 或3DES 的 ESP 以获得全部保密性。

  • 使用 AH 向协议标头、IPv6 标头中的不可变字段和扩展标头和选项提供身份验证。

配置的 SA 按以下方式应用于 OSPF 或 OSPFv3 配置:

  • 对于 OSPF 或 OSPFv3 接口,在 [ ipsec-sa nameedit protocols ospf area area-id interface interface-name] 或 [edit protocols ospf3 area area-id interface interface-name] 层次结构级别上包含语句。只能为 OSPF 或 OSPFv3 接口指定一个 IPsec SA 名称;但是,不同的 OSPF/OSPFv3 接口可以指定相同的 IPsec SA。

  • 对于 OSPF 或 OSPFv3 虚拟链路,请在 [ ipsec-sa nameedit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] 或 [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 层次结构级别上包含语句。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。

以下限制适用于 SRX 系列设备上的 OSPF 或 OSPFv3 的 IPsec 身份验证:

  • 在 [edit security ipsec vpn vpn-name manual] 层次结构级别配置的手动 VPN 配置不能应用于 OSPF 或 OSPFv3 接口或虚拟链路以提供 IPsec 身份验证和机密性。

  • 如果在具有相同本地和远程地址的设备上配置了现有 IPsec VPN,则不能将 IPsec 配置为 OSPF 或 OSPFv3 身份验证。

  • 安全通道 st0 接口不支持 OSPF 或 OSPFv3 身份验证的 IPsec。

  • 不支持手动密钥的重新加密。

  • 不支持动态互联网密钥交换(IKE) Sa。

  • 仅支持 IPsec 传输模式。在传输模式中,只有 IP 数据包的有效负载(传输的数据)经过加密、验证,或者同时进行了认证。不支持隧道模式。

  • 由于仅支持双向手动 Sa,所有 OSPFv3 对等方都必须使用相同的 IPsec SA 进行配置。您可在 [edit security ipsec] 层次结构级别配置手动双向 SA。

  • 您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。

另请参阅

示例:为 SRX 系列设备上的 OSPF 接口配置 IPsec 身份验证

此示例演示如何配置手动安全关联(SA)并将其应用于 OSPF 接口。

要求

开始之前:

  • 配置设备接口。

  • 为 OSPF 网络中的设备配置路由器标识符。

  • 控制 OSPF 指定路由器选举。

  • 配置单区域 OSPF 网络。

  • 配置 multiarea OSPF 网络。

概述

您可以对 OSPF 和 OSPFv3 使用 IPsec 身份验证。您可以单独配置手动 SA 并将其应用于适用的 OSPF 配置。表 3列出了本示例中为手动 SA 配置的参数和值。

表 3: 用于 IPsec 的手动 SA OSPF 接口身份验证

参数

SA 名称

sa1

状态

传输

方向

双向

Protocol

AH

SPI

256

身份验证算法

徽标键

hmac-md5-96

(ASCII)123456789012abc

加密算法

徽标键

des

(ASCII) cba210987654321

配置

配置手动 SA

CLI 快速配置

要快速配置手动 SA 以用于 OSPF 接口上的 IPsec 身份验证,请复制以下命令,将其粘贴到文本文件中,卸下任何换行符,更改与网络配置相匹配的任何必要详细信息,将命令复制并粘贴到 CLI 的 [edit] 层次结构级别,然后输入 commit从配置模式。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置手动 SA:

  1. 指定 SA 的名称。
  2. 指定手动 SA 的模式。
  3. 配置手动 SA 的方向。
  4. 配置要使用的 IPsec 协议。
  5. 配置 SPI 的值。
  6. 配置身份验证算法和密钥。
  7. 配置加密算法和密钥。

结果

输入show security ipsec命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

注意

配置密码后,您看不到密码本身。输出将显示您配置的密码的加密形式。

如果您完成了设备配置,请输入 commit从配置模式。

为 OSPF 接口启用 IPsec 身份验证

CLI 快速配置

要将用于 IPsec 身份验证的手动 SA 快速应用于 OSPF 接口,请复制以下命令,将其粘贴到文本文件中,更改与您的网络配置匹配的必要详细信息,将命令复制并粘贴到 CLI 中的edit[] 层次结构级别,然后输入 commit从配置模式。

分步过程

要为 OSPF 接口启用 IPsec 身份验证:

  1. 创建 OSPF 区域。注意

    要指定 OSPFv3,请将ospf3语句包含在[edit protocols]层次结构级别。

  2. 指定接口。
  3. 应用 IPsec 手动 SA。

结果

确认配置,方法是输入 show ospf interface detail命令时,此文件将变成活动配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

要确认 OSPFv3 配置,请输入 show protocols ospf3命令时,此文件将变成活动配置。

如果您完成了设备配置,请输入 commit从配置模式。

针对

确认配置是否正常工作。

验证 IPsec 安全关联设置

用途

验证配置的 IPsec 安全关联设置。验证以下信息:

  • "安全关联" 字段显示已配置安全关联的名称。

  • SPI 域显示您配置的值。

  • 模式字段显示传输模式。

  • 类型字段将作为安全关联的类型显示为手动。

操作

在操作模式下,输入 show ospf interface detail命令时,此文件将变成活动配置。

验证 OSPF 接口上的 IPsec 安全关联

用途

验证您配置的 IPsec 安全关联是否已应用于 OSPF 接口。确认 IPsec SA 名称字段显示已配置 IPsec 安全关联的名称。

操作

在操作模式下,输入 show ospf interface detail命令进行 OSPF,然后输入 show ospf3 interface detail命令 OSPFv3。

使用 VPN 向导配置 IPsec VPN

VPN 向导允许您执行基本 IPsec VPN 配置,包括阶段1和阶段2。对于更高级的配置,请使用 J Web 界面或 CLI。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上支持此功能。

要使用 VPN 向导配置 IPsec VPN:

  1. Configure>Device Setup>VPN J-Web 界面中选择。
  2. 单击启动 VPN 向导按钮。
  3. 按照向导提示操作。

向导页面的左上区域显示您在配置过程中的位置。页面左下角部分显示的是字段相关帮助。单击 Resources (资源)标题下的链接时,文档将在您的浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而非浏览器窗口)。

了解 Suite B 和主要加密套件

Suite B 是美国国家安全机构指定的一组加密算法,允许商业产品保护以机密或主要机密级别分类的信息流。套件 B 协议在 RFC 6379 中定义 适用于 IPsec 的 Suite B 加密套件. 套件 B 的加密套件提供封装式安全有效负载(ESP)的完整性和机密性,应在同时需要 ESP 完整性保护和加密时使用。IP 模块化加密的协议要求(质数),为英国的公共部门网络定义的 IPsec 配置文件基于 Suite B 加密套件,但使用 AES-GCM 而非 AES-CBC 进行 IKEv2 协商。

支持以下加密套件:

  • Suite-B-GCM-128

    • 那样Galois 计数器模式(GCM)中的128位密钥和16个八位字节完整性校验值(ICV)的高级加密标准(AES)加密。

    • IKE:在密码块链(CBC)模式下的128位密钥的 AES 加密,使用 SHA-256 身份验证的完整性,使用 Diffie-hellman (DH)组19的密钥建立,以及使用椭圆曲线数字签名算法(ECDSA)256位椭圆的身份验证曲线签名。

  • Suite-B-GCM-256

    • 那样在 GCM 针对 ESP 的256位密钥和16个八位字节 ICV 的 AES 加密。

    • IKE:在 CBC 模式下使用256位密钥的 AES 加密、使用 SHA-384 身份验证的完整性、使用 DH 组20的密钥建立以及使用 ECDSA 384 位椭圆曲线签名的身份验证。

  • PRIME-128

    • 那样在 GCM 中使用128位密钥和16个八位字节 ICV 的 AES 加密。

    • IKE:在 GCM 中使用128位密钥的 AES 加密、使用 DH 组19的密钥建立以及使用 ECDSA 256 位椭圆曲线签名的身份验证。

  • PRIME-256

    • 那样在 GCM 针对 ESP 的256位密钥和16个八位字节 ICV 的 AES 加密。

    • IKE:在 GCM 中使用256位密钥的 AES 加密、使用 DH 组20的密钥建立以及使用 ECDSA 384 位椭圆曲线签名的身份验证。

套件-B 加密套件支持 IKEv1 和 IKEv2。质数加密套件仅支持 IKEv2。

注意

在没有 SPC2 (SRX5K-SPC-SPC-4-14-320)的 SRX3400 和 SRX3600 设备以及 SRX5400、SRX5600 和 SRX5800 设备上,不完全支持套件 B 和质数。(平台支持取决于安装中的 Junos OS 版本。)您可以在这些设备上使用 Suite B 选项配置 IKE,但不支持 AES-GCM 选项。如果您在这些设备上使用 Suite B 选项配置 IKE,VPN 建立将变得更慢,因为设备没有可加速 Suite B 算法处理的硬件处理器。

注意

Group VPNv2 功能不支持 Suite B 和质数。

CLI 选项支持 Suite B 和符合 IKE 和 IPsec 计划书配置的主要合规性:

  • 对于在 [edit security ike proposal proposal-name] 层次结构级别配置的 IKE 建议:

    • authentication-algorithm选项包括sha-256sha-384

    • authentication-method选项包括ecdsa-signatures-256ecdsa-signatures-384

    • dh-group选项包括group19group20

    • encryption-algorithm主要包括aes-128-gcmaes-256-gcm的选项。

      注意

      如果aes-128-gcmaes-256-gcm IPsec 建议中配置了加密算法,则在相应的 IKE 建议中配置 AES-GCM 加密算法不是必需的。

  • 对于在edit security ipsec proposal proposal-name[] 层次结构级别配置的 IPsec 建议encryption-algorithm ,选项aes-128-gcm包括aes-192-gcm、和aes-256-gcm

  • 对于在 [edit security ipsec policy policy-name] 层次结构级别配置的 IPsec 策略, perfect-forward-secrecy keys选项包括group19group20

  • suiteb-gcm-128方便起见,在 [ suiteb-gcm-256prime-128prime-256edit security ike policy policy-name] 和 [edit security ipsec policy policy-name] 层次结构级别提供符合 Suite B (和)和质数(和)的预定义建议可用。

注意

VPN 监控和加密配置选项ecdsa-signatures-384 (用于 IKE 认证)和 DH 组20占用相当多的 CPU 资源。如果在配置了大量ecdsa-signatures-384隧道group20的 SRX 系列设备上使用 VPN 监控和和选项,则 SRX 系列设备必须安装 SPC2。

另请参阅

示例:配置辐射型 VPN

此示例演示如何为企业级部署配置辐射型 IPsec VPN。

要求

此示例使用以下硬件:

  • SRX240 设备

  • SRX5800 设备

  • SSG140 设备

开始之前,请阅读IPsec VPN Overview

概述

此示例介绍如何配置分支机构部署中常见的集中式 VPN。该中心是企业办事处,在马萨诸塞州 Sunnyvale 和韦斯特福德—的分支办事处有两个分支办事处。分支办事处的用户将使用 VPN 与企业办公室安全地传输数据。

图 1显示了中心辐射型 VPN 拓扑的示例。在此拓扑中,SRX5800 设备位于企业办事处。SRX 系列设备位于韦斯特福德分支机构,SSG140 设备位于 Sunnyvale 分支机构。

图 1: 中心辐射型 VPN 拓扑
中心辐射型 VPN 拓扑

在此示例中,您将配置企业办公室中枢、韦斯特福德分支和 Sunnyvale 分支。首先配置接口、IPv4 静态和默认路由、安全区域和地址簿。然后,配置 IKE 阶段1和 IPsec 阶段2参数,并将 st 0.0 接口绑定到 IPsec VPN。在中心上,为 multipoint 配置 st 0.0,并为 Sunnyvale 分支添加静态 NHTB 表条目。最后,配置安全策略和 TCP-MSS 参数。有关本示例中使用的特定配置参数,请参阅表 4表 8

表 4: 接口、安全区域和通讯簿信息

中心或分支

功能

名称

配置参数

集散

接口

ge-0/0/0.0

192.168.10.1/24

  

ge-0/0/3.0

10.1.1.2/30

  

st0

10.11.11.10/24

分支

接口

ge-0/0/0.0

10.3.3.2/30

  

ge-0/0/3.0

192.168.178.1/24

  

st0

10.11.11.12/24

集散

安全区域

相信

  • 允许所有系统服务。

  • Ge-0/0/0.0 接口绑定到此区域。

  

不信任

  • IKE 是唯一允许的系统服务。

  • Ge-0/0/3.0 接口绑定到此区域。

  

vpn

St 0.0 接口绑定到此区域。

分支

安全区域

相信

  • 允许所有系统服务。

  • Ge-0/0/3.0 接口绑定到此区域。

  

不信任

  • IKE 是唯一允许的系统服务。

  • Ge-0/0/0.0 接口绑定到此区域。

  

vpn

St 0.0 接口绑定到此区域。

集散

通讯簿条目

本地

  • 此地址用于信任区域’的通讯簿。

  • 此通讯簿条目的地址为 192.168.10.0/24。

  

sunnyvale-网络

  • 此地址簿适用于 vpn 区域’的通讯簿。

  • 此通讯簿条目的地址为 192.168.168.0/24。

  

韦斯特福德-网络

  • 此地址用于 vpn 区域’的通讯簿。

  • 此通讯簿条目的地址为 192.168.178.0/24。

分支

通讯簿条目

本地

  • 此地址用于信任区域’的通讯簿。

  • 此通讯簿条目的地址为 192.168.168.178.0/24。

  

企业-净

  • 此地址用于 vpn 区域’的通讯簿。

  • 此通讯簿条目的地址为 192.168.10.0/24。

  

sunnyvale-网络

  • 此地址用于 vpn 区域’的通讯簿。

  • 此通讯簿条目的地址为 192.168.168.0/24。

表 5: IKE 阶段1配置参数

中心或分支

功能

名称

配置参数

集散

ike-phase1-proposal

  • 身份验证方法:预共享密钥

  • Diffie-hellman 组:group2

  • 身份验证算法:sha1

  • 加密算法:aes-128-cbc

 

策略

ike-phase1-policy

  • 状态主页

  • 建议参考:ike-phase1-proposal

  • IKE 阶段1策略身份验证方法:预共享关键 ascii 文本

 

网关

gw-韦斯特福德

  • IKE 策略参考:ike-phase1-policy

  • 外部接口:ge-0/0/3.0

  • 网关地址:10.3.3.2

  

gw-sunnyvale

  • IKE 策略参考:ike-phase1-policy

  • 外部接口:ge-0/0/3.0

  • 网关地址:10.2.2.2

分支

ike-phase1-proposal

  • 身份验证方法:预共享密钥

  • Diffie-hellman 组:group2

  • 身份验证算法:sha1

  • 加密算法:aes-128-cbc

 

策略

ike-phase1-policy

  • 状态主页

  • 建议参考:ike-phase1-proposal

  • IKE 阶段1策略身份验证方法:预共享关键 ascii 文本

 

网关

gw-企业

  • IKE 策略参考:ike-phase1-policy

  • 外部接口:ge-0/0/0.0

  • 网关地址:10.1.1.2

表 6: IPsec 阶段2配置参数

中心或分支

功能

名称

配置参数

集散

ipsec-phase2-proposal

  • Protocol 那样

  • 身份验证算法:hmac-sha1-96

  • 加密算法:aes-128-cbc

 

策略

ipsec-phase2-policy

  • 建议参考:ipsec-phase2-proposal

  • 生产Diffie-hellman group2

 

VPN

vpn-sunnyvale

  • IKE 网关参考:gw-sunnyvale

  • IPsec 策略参考:ipsec-phase2-policy

  • 绑定到接口:st0.0

  

vpn-韦斯特福德

  • IKE 网关参考:gw-韦斯特福德

  • IPsec 策略参考:ipsec-phase2-policy

  • 绑定到接口:st0.0

分支

ipsec-phase2-proposal

  • Protocol 那样

  • 身份验证算法:hmac-sha1-96

  • 加密算法:aes-128-cbc

 

策略

ipsec-phase2-policy

  • 建议参考:ipsec-phase2-proposal

  • 生产Diffie-hellman group2

 

VPN

vpn-企业

  • IKE 网关参考:gw-企业

  • IPsec 策略参考:ipsec-phase2-policy

  • 绑定到接口:st0.0

表 7: 安全策略配置参数

中心或分支

用途

名称

配置参数

集散

安全策略允许从信任区域到 vpn 区域的流量。

本地到分支

  • 匹配标准:

    • 源地址本地

    • 目标地址 sunnyvale-净

    • 目标地址韦斯特福德-净

    • 应用程序任何

 

安全策略允许从 vpn 区域到信任区域的流量。

分支到本地

匹配标准:

  • 源地址 sunnyvale-净

  • 源地址韦斯特福德-净

  • 目的地-本地地址

  • 应用程序任何

 

安全策略允许 intrazone 信息流。

分支至分支

匹配标准:

  • 源地址任何

  • 目的地-地址任意

  • 应用程序任何

分支

安全策略允许从信任区域到 vpn 区域的流量。

到 corp

  • 匹配标准:

    • 源地址本地

    • 目的地-地址公司-净

    • 目标地址 sunnyvale-净

    • 应用程序任何

 

安全策略允许从 vpn 区域到信任区域的流量。

从-corp

匹配标准:

  • 源地址-网络公司

  • 源地址 sunnyvale-净

  • 目的地-本地地址

  • 应用程序任何

 

安全策略允许从不信任区域到信任区域的流量。

允许-任意

匹配标准:

  • 源地址任何

  • 来源-目标任意

  • 应用程序任何

  • 允许操作:源 nat 接口

    通过指定source-nat interface,SRX 系列设备将源 ip 地址和端口转换为传出流量,使用出口接口的 IP 地址作为源 ip 地址和随机高数字端口作为源端口。

表 8: TCP-MSS 配置参数

用途

配置参数

TCC-MSS 作为 TCP 三路握手的一部分进行协商,并限制 TCP 分段的最大大小,以便更好地适应网络上的 MTU 限制。对于 VPN 流量,IPsec 封装开销以及 IP 和帧开销会导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。碎片会导致带宽和设备资源的使用增加。

注意: 对于使用1500或更高 MTU 的大多数基于以太网的网络,1350的价值是建议的起点。您可能需要试验不同的 TCP-MSS 值,以获得最佳性能。例如,如果路径中的任何设备具有较低的 MTU,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。

MSS 值:1350

配置

为中心配置基本网络、安全区域和通讯簿信息

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置中心的基本网络、安全区域和通讯簿信息:

  1. 配置以太网接口信息。
  2. 配置静态路由信息。
  3. 配置不信任安全区域。
  4. 将接口分配给不信任安全区域。
  5. 为不信任安全区域指定允许的系统服务。
  6. 配置信任安全区域。
  7. 将接口分配给信任安全区域。
  8. 为信任安全区域指定允许的系统服务。
  9. 创建地址簿并为其附加区域。
  10. 配置 vpn 安全区域。
  11. 为 vpn 安全区域分配接口。
  12. 创建另一个通讯簿并为其附加区域。

结果

从配置模式, show interfaces输入、 show routing-optionsshow security zones、和show security address-book命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为中心配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要为中心配置 IKE:

  1. 创建 IKE 阶段1建议。
  2. 定义 IKE 建议身份验证方法。
  3. 定义 IKE 建议 Diffie-hellman 组。
  4. 定义 IKE 建议身份验证算法。
  5. 定义 IKE 建议加密算法。
  6. 创建 IKE 阶段1政策。
  7. 设置 IKE 阶段1策略模式。
  8. 指定对 IKE 建议的参考。
  9. 定义 IKE 阶段1策略身份验证方法。
  10. 创建 IKE 阶段1网关并定义其外部接口。
  11. 定义 IKE 阶段1策略参考。
  12. 定义 IKE 阶段1网关地址。
  13. 创建 IKE 阶段1网关并定义其外部接口。
  14. 定义 IKE 阶段1策略参考。
  15. 定义 IKE 阶段1网关地址。

结果

从配置模式,输入show security ike命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为中心配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要为中心配置 IPsec:

  1. 创建 IPsec 阶段2建议。
  2. 指定 IPsec 阶段2建议协议。
  3. 指定 IPsec 阶段2建议身份验证算法。
  4. 指定 IPsec 阶段2建议加密算法。
  5. 创建 IPsec 阶段2策略。
  6. 指定 IPsec 阶段2建议参考。
  7. 指定 IPsec 阶段 2 PFS 以使用 Diffie-hellman 组2。
  8. 指定 IKE 网关。
  9. 指定 IPsec 阶段2策略。
  10. 指定要绑定的接口。
  11. 将 st0 接口配置为 multipoint。
  12. 为 Sunnyvale 和韦斯特福德办事处添加静态 NHTB 表条目。

结果

从配置模式,输入show security ipsec命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为中心配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要为中心配置安全策略:

  1. 创建安全策略以允许从信任区域到 vpn 区域的流量。
  2. 创建安全策略以允许从 vpn 区域到信任区域的流量。
  3. 创建安全策略以允许 intrazone 信息流。

结果

从配置模式,输入show security policies命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为中心配置 TCP-MSS

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要配置中心的 TCP-MSS 信息:

  1. 配置 TCP-MSS 信息。

结果

从配置模式,输入show security flow命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为韦斯特福德分支配置基本网络、安全区域和地址簿信息

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置韦斯特福德分支的基本网络、安全区域和地址簿信息:

  1. 配置以太网接口信息。
  2. 配置静态路由信息。
  3. 配置不信任安全区域。
  4. 为安全区域分配接口。
  5. 为不信任安全区域指定允许的系统服务。
  6. 配置信任安全区域。
  7. 将接口分配给信任安全区域。
  8. 为信任安全区域指定允许的系统服务。
  9. 配置 vpn 安全区域。
  10. 为 vpn 安全区域分配接口。
  11. 创建地址簿并为其附加区域。
  12. 创建另一个通讯簿并为其附加区域。

结果

在配置模式下,输入以下设置以确认您的配置: show interfacesshow routing-optionsshow security zonesshow security address-book命令。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请输入 commit从配置模式。

为韦斯特福德分支配置 IKE

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要为韦斯特福德分支配置 IKE:

  1. 创建 IKE 阶段1建议。
  2. 定义 IKE 建议身份验证方法。
  3. 定义 IKE 建议 Diffie-hellman 组。
  4. 定义 IKE 建议身份验证算法。
  5. 定义 IKE 建议加密算法。
  6. 创建 IKE 阶段1政策。
  7. 设置 IKE 阶段1策略模式。
  8. 指定对 IKE 建议的参考。
  9. 定义 IKE 阶段1策略身份验证方法。
  10. 创建 IKE 阶段1网关并定义其外部接口。
  11. 定义 IKE 阶段1策略参考。
  12. 定义 IKE 阶段1网关地址。

结果

从配置模式,输入show security ike命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为韦斯特福德分支配置 IPsec

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要为韦斯特福德分支配置 IPsec:

  1. 创建 IPsec 阶段2建议。
  2. 指定 IPsec 阶段2建议协议。
  3. 指定 IPsec 阶段2建议身份验证算法。
  4. 指定 IPsec 阶段2建议加密算法。
  5. 创建 IPsec 阶段2策略。
  6. 指定 IPsec 阶段2建议参考。
  7. 指定 IPsec 阶段 2 PFS 以使用 Diffie-hellman 组2。
  8. 指定 IKE 网关。
  9. 指定 IPsec 阶段2策略。
  10. 指定要绑定的接口。

结果

从配置模式,输入show security ipsec命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为韦斯特福德分支配置安全策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要为韦斯特福德分支配置安全策略:

  1. 创建安全策略以允许从信任区域到 vpn 区域的流量。
  2. 创建安全策略以允许从 vpn 区域到信任区域的流量。

结果

从配置模式,输入show security policies命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

为韦斯特福德分支配置 TCP-MSS

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要为韦斯特福德分支配置 TCP-MSS:

  1. 配置 TCP-MSS 信息。

结果

从配置模式,输入show security flow命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置 Sunnyvale 分支

CLI 快速配置

此示例使用 SSG 系列设备作为 Sunnyvale 分支。为了参考,提供了 SSG 系列设备的配置。有关配置 SSG 系列设备的信息,请参阅 ScreenOS 参考指南的概念和示例,位于https://www.juniper.net/documentation

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后输入 commit从配置模式。

针对

要确认配置是否正常运行,请执行以下任务:

验证 IKE 阶段1状态

用途

验证 IKE 阶段1状态。

操作

注意

开始验证过程之前,您需要从 192.168.10/24 网络中的主机向 192.168.168/24 和 192.168.178/24 网络中的主机发送流量,以使隧道启动。对于基于路由的 Vpn,您可以发送通过隧道从 SRX 系列设备发起的信息流。我们建议在测试 IPsec 隧道时,将来自 VPN 一侧另一台设备的测试流量发送至 VPN 另一侧的另一台设备。例如,发起从192.168.10.10 到192.168.168.10 的 ping。

在操作模式下,输入show security ike security-associations命令。从命令获取索引号之后,请使用show security ike security-associations index index_number detail命令。

user@hub> show security ike security-associations
user@hub> show security ike security-associations index 6 detail

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。检查配置中 IKE 策略参数和外部接口设置。

如果列出了 SAs,请查看以下信息:

  • 索引—此值对于每个 IKE SA 来说都是唯一的,您可以show security ike security-associations index detail在命令中使用此信息来获取有关 SA 的更多信息。

  • 远程地址—验证远程 IP 地址正确无误。

  • State

    • —已建立阶段 1 SA。

    • 停机—建立阶段 1 SA 时出现问题。

  • 模式—验证是否使用了正确模式。

验证以下信息在您的配置中是否正确:

  • 外部接口(接口必须是接收 IKE 数据包的界面)

  • IKE 策略参数

  • 预共享密钥信息

  • 阶段1方案参数(两个对等方必须匹配)

show security ike security-associations index 1 detail命令列出有关索引号为1的安全关联的附加信息:

  • 使用的身份验证和加密算法

  • 阶段1生命周期

  • 流量统计数据(可用于验证流量在两个方向上的流动是否正确)

  • 发起方和响应方角色信息

    注意

    使用响应方角色,最好在对等方上执行故障排除。

  • 创建的 IPsec Sa 数

  • 正在进行的阶段2协商数

验证 IPsec 阶段2状态

用途

验证 IPsec 阶段2状态。

操作

在操作模式下,输入show security ipsec security-associations命令。从命令获取索引号之后,请使用show security ipsec security-associations index index_number detail命令。

user@hub> show security ipsec security-associations
user@hub> show security ipsec security-associations index 16385 detail

含义

show security ipsec security-associations命令的输出列出以下信息:

  • ID 号为16385。将此值与show security ipsec security-associations index命令一起使用,可获取有关此特定 SA 的详细信息。

  • 有一对 IPsec SA 对使用端口500,表示未实施任何 NAT 遍历。(NAT 遍历使用端口4500或其他随机高位端口。)

  • 为两个方向显示 SPIs、生存期(以秒为单位)和使用限制(或 lifesize/KB)。28756/unlim 值表示阶段2生存期在28756秒内过期,未指定 lifesize,这表示没有限制。阶段2的生存期可能与阶段1的生存期不同,因为第2阶段在 VPN 启动后不依赖于阶段1。

  • 没有为此 SA 启用 VPN 监控,如 "周一列" 中的连字号所示。如果启用 VPN 监控,U 表示监控已开启,并且 D 表示监控已关闭。

  • 虚拟系统(vsys)是根系统,它始终列出0。

show security ipsec security-associations index 16385 detail命令的输出列出以下信息:

  • 本地身份和远程身份组成 SA 的代理 ID。

    代理 ID 不匹配是第2阶段失败的最常见原因之一。如果未列出 IPsec SA,请确认第2阶段的建议(包括代理 ID 设置)对于两个对等方都是正确的。对于基于路由的 Vpn,默认代理 ID 为 local = 0.0.0.0/0、remote = 0.0.0.0/0 和服务 = any。来自相同对等方 IP 的多个基于路由的 Vpn 可能会出现问题。在这种情况下,必须为每个 IPsec SA 指定一个唯一的代理 ID。对于某些第三方供应商,必须手动输入代理 ID 以进行匹配。

  • 第2阶段发生故障的另一个常见原因未指定 ST 接口绑定。如果 IPsec 无法完成,请检查 kmd 日志或设置跟踪选项。

验证下一中继站通道绑定

用途

在完成了所有对等方的阶段2之后,请验证下一中继站通道绑定。

操作

在操作模式下,输入show security ipsec next-hop-tunnels命令。

user@hub> show security ipsec next-hop-tunnels

含义

下一中继站网关是所有远程分支对等方的 st0 接口的 IP 地址。下一跳跃应与正确的 IPsec VPN 名称相关联。如果不存在 NHTB 条目,则中心设备无法区分哪个 IPsec VPN 与哪个下一跳跃相关联。

标记字段具有以下值之一:

  • 静态— NHTB 是在 st 0.0 接口配置中手动配置的,如果对等方不是 SRX 系列设备,则是必需的。

  • 未—配置自动 NHTB,但条目在两个 SRX 系列设备之间的第2阶段协商期间自动填充到 NHTB 表中

本示例中的任何分支站点都没有 NHTB 表。从分支的角度来看,st0 接口仍然是只有一个 IPsec VPN 绑定的点对点链路。

验证远程对等机器本地 Lan 的静态路由

用途

验证静态路由是否引用了分支对等’方的 st0 IP 地址。

操作

在操作模式下,输入show route命令。

user@hub> show route 192.168.168.10
user@hub> show route 192.168.178.10

下一跳跃是远程对等’方的 st0 IP 地址,并且两个路由都指向 st 0.0 作为传出接口。

查看 IPsec 安全关联的统计数据和错误

用途

查看 IPsec 安全关联的 ESP 和身份验证标头计数器和错误。

操作

在操作模式下,输入show security ipsec statistics index命令。

user@hub> show security ipsec statistics index 16385

您也可使用show security ipsec statistics命令查看所有 sa 的统计信息和错误。

要清除所有 IPsec 统计信息,请clear security ipsec statistics使用命令。

含义

如果您在 VPN 上看到数据包丢失问题,则可以多次运行show security ipsec statisticsshow security ipsec statistics detail命令以确认加密和解密数据包计数器是否递增。您还应检查其他错误计数器是否递增。

测试跨 VPN 的信息流

用途

验证 VPN 上的信息流。

操作

您可以使用 SRX 系列ping设备中的命令测试到远程主机 PC 的信息流。请确保指定源接口,以便路由查找正确,并且在策略查找过程中引用相应的安全区域。

在操作模式下,输入ping命令。

user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5

您也可使用 SSG ping系列设备中的命令。

user@hub> ping 192.168.10.10 from ethernet0/6
ssg-> ping 192.168.178.10 from ethernet0/6

含义

如果ping命令在 SRX 系列或 SSG 系列设备上失败,则可能是路由、安全策略、端主机或 ESP 数据包的加密和解密问题。

相关主题

Release History Table
版本
说明
从 Junos OS Release 19.4 R1 开始,您现在可以在container-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name]层次结构和层级中配置一个动态 DN 属性。如果您在配置第一个属性之后尝试配置第二个属性,则第一个属性将替换为第二个属性。升级设备之前,如果已配置两个属性,则必须卸下其中一个属性。
从 Junos OS Release 15.1 X 49-D80,SRX 系列设备上的动态端点 Vpn 支持安全隧道上的 IPv6 流量。
从 Junos OS Release 12.3 X48-D40、Junos OS 版本 15.1 X 49-D 70 和 Junos OS 版本 17.3 R1,在使用相同外部接口的 SRX 系列设备上配置的所有动态端点网关都可以使用不同 IKE 策略,但 IKE 策略必须使用相同的 IKE 建议。