基于策略的 IPsec VPN
date_range 8-Jul-23Product and Release Support
基于策略的 VPN 是一种配置,其中,在策略本身中指定在两个端点之间创建的 IPsec VPN 隧道,并针对满足策略匹配标准的传输流量执行策略操作。
了解基于策略的 IPsec VPN
对于基于策略的 IPsec VPN,安全策略指定用于传输符合策略匹配标准的传输流量的 VPN 隧道作为其操作。VPN 的配置独立于策略语句。策略语句按名称引用 VPN,以指定允许访问隧道的流量。对于基于策略的 VPN,每个策略都会与远程对等方创建一个单独的 IPsec 安全关联 (SA),其中每个都算作一个单独的 VPN 隧道。例如,如果策略包含组源地址和组目标地址,则每当属于地址集的一个用户尝试与指定为目标地址的任何一个主机通信时,都会协商并建立新隧道。由于每个隧道都需要自己的协商过程和单独的 SA 对,因此与基于路由的 VPN 相比,使用基于策略的 IPsec VPN 可能更需要资源。
可以使用基于策略的 VPN 的位置示例:
您正在实施拨号 VPN。
基于策略的 VPN 允许您根据防火墙策略定向流量。
如果要在多个远程站点之间配置 VPN,我们建议您使用基于路由的 VPN。基于路由的 VPN 可以提供与基于策略的 VPN 相同的功能。
限制:
IKEv2 不支持基于策略的 IPSec VPN。
另请参阅
示例:配置基于策略的 VPN
此示例说明如何配置基于策略的 IPsec VPN,以允许在两个站点之间安全地传输数据。
要求
此示例使用以下硬件:
任何 SRX 系列防火墙
在 Junos OS 20.4R1 版上使用 vSRX 虚拟防火墙进行更新和重新验证。
注:
您是否有兴趣亲身体验本指南中涉及的主题和操作?访问 瞻博网络虚拟实验室中的 IPsec 基于策略的演示 ,立即预订免费沙盒!您可以在安全类别中找到 IPsec 基于 VPN 策略的沙盒。
开始之前,请阅读 IPsec 概述。
概述
在此示例中,您可以在 SRX1 和 SRX2 上配置基于策略的 VPN。Host1 和 Host2 使用 VPN 在两个主机之间通过互联网安全发送流量。
图 1 显示了基于策略的 VPN 拓扑的示例。
图 1: 基于策略的 VPN 拓扑
IKE IPsec 隧道协商分两个阶段进行。在第 1 阶段,参与方会建立一个安全通道,用于协商 IPsec 安全关联 (SA)。在第 2 阶段,参与方协商 IPsec SA,以验证将通过隧道传输的流量。就像隧道协商有两个阶段一样,隧道配置也有两个阶段。
在此示例中,您将配置接口、IPv4 默认路由和安全区域。然后,配置 IKE 第 1 阶段、IPsec 第 2 阶段、安全策略和 TCP-MSS 参数。查看 表 1 到 表 5。
功能 | 姓名 | 配置参数 |
|---|---|---|
接口 | ge-0/0/0.0 | 10.100.11.1/24 |
ge-0/0/1.0 | 172.16.13.1/24 | |
安全区域 | 信任 |
|
untrust |
| |
静态路由 | 0.0.0.0/0 |
|
功能 | 姓名 | 配置参数 |
|---|---|---|
建议 | 标准 |
|
策略 | IKE-POL |
|
网关 | IKE-GW |
|
功能 | 姓名 | 配置参数 |
|---|---|---|
建议 | 标准 |
|
策略 | IPSEC-POL |
|
VPN | VPN-to-Host2 |
|
目的 | 姓名 | 配置参数 |
|---|---|---|
此安全策略允许从信任区域到不信任区域的流量。 | VPN-OUT |
|
此安全策略允许从不信任区域到信任区域的流量。 | VPN-IN |
|
此安全策略允许从信任区域到不信任区域的所有流量。 您必须将 VPN-OUT 策略置于默认允许安全策略之前。Junos OS 从列表顶部开始执行安全策略查找。如果默认允许策略先于 VPN-OUT 策略,则来自信任区域的所有流量都与默认许可策略匹配,并且均已获得允许。因此,没有任何流量与 VPN-OUT 策略匹配。 | 默认允许 |
|
目的 | 配置参数 |
|---|---|
TCP-MSS 作为 TCP 三次握手的一部分进行协商,并限制 TCP 分段的最大大小,以便更好地适应网络上的最大传输单元 (MTU) 限制。这一点对于 VPN 流量尤为重要,因为 IPsec 封装开销以及 IP 和帧开销可能会导致由此产生的封装安全有效负载 (ESP) 数据包超过物理接口的 MTU,从而导致分片。分段会导致带宽和设备资源的使用增加。 对于大多数基于以太网且 MTU 为 1500 或更高的网络,我们建议将 1350 作为起点。您可能需要试验不同的 TCP-MSS 值,以获得最佳性能。例如,如果路径中的任何设备的 MTU 较低,或者存在任何额外开销(如 PPP 或帧中继),则可能需要更改该值。 | MSS 值:1350 |
配置
配置基本网络和安全区域信息
CLI 快速配置
要为 SRX1 快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
content_copy zoom_out_map
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何执行该操作的说明,请参阅 CLI 用户指南。
要配置接口、静态路由和安全区域信息:
配置接口。
content_copy zoom_out_map
[edit] user@SRX1#set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24user@SRX1#set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24user@SRX1#set interfaces lo0 unit 0 family inet address 10.100.100.1/32
配置静态路由。
content_copy zoom_out_map
[edit] user@SRX1#set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
将面向互联网的接口分配给不信任安全区域。
content_copy zoom_out_map
[edit security zones security-zone untrust] user@SRX1#set interfaces ge-0/0/1.0
为不信任安全区域指定允许的系统服务。
content_copy zoom_out_map
[edit security zones security-zone untrust] user@SRX1#set host-inbound-traffic system-services ikeuser@SRX1#set host-inbound-traffic system-services ping
将面向 Host1 的接口分配给信任安全区域。
content_copy zoom_out_map
[edit security zones security-zone trust] user@SRX1#set interfaces ge-0/0/0.0
为信任安全区域指定允许的系统服务。
content_copy zoom_out_map
[edit security zones security-zone trust] user@SRX1#set host-inbound-traffic system-services all
结果
在配置模式下,输入 、 show routing-options和show security zones命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
content_copy zoom_out_map
[edit] user@SRX1#show interfacesge-0/0/0 { unit 0 { family inet { address 10.100.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.13.1/24; } } } lo0 { unit 0 { family inet { address 10.100.100.1/32; } } }Show more content_copy zoom_out_map
[edit] user@SRX1#show routing-optionsstatic { route 0.0.0.0/0 next-hop 172.16.13.2; }content_copy zoom_out_map
[edit] user@SRX1#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { ike; ping; } } interfaces { ge-0/0/1.0; } }Show more
配置 IKE
CLI 快速配置
要为 SRX1 快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
content_copy zoom_out_map
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 CLI 用户指南。
要配置 IKE:
创建 IKE 提议。
content_copy zoom_out_map
[edit security ike] user@SRX1#set proposal standard
定义 IKE 提议身份验证方法。
content_copy zoom_out_map
[edit security ike proposal standard] user@SRX1#set authentication-method pre-shared-keys
创建 IKE 策略。
content_copy zoom_out_map
[edit security ike] user@SRX1#set policy IKE-POL
设置 IKE 策略模式。
content_copy zoom_out_map
[edit security ike policy IKE-POL] user@SRX1#set mode main
指定对 IKE 提议的引用。
content_copy zoom_out_map
[edit security ike policy IKE-POL] user@SRX1#set proposals standard
定义 IKE 策略身份验证方法。
content_copy zoom_out_map
[edit security ike policy IKE-POL] user@SRX1#set pre-shared-key ascii-text $ABC123
创建 IKE 网关并定义其外部接口。
content_copy zoom_out_map
[edit security ike gateway IKE-GW] user@SRX1#set external-interface ge-0/0/1.0
定义 IKE 网关地址。
content_copy zoom_out_map
[edit security ike gateway IKE-GW] user@SRX1#address 172.16.23.1
定义 IKE 策略参考。
content_copy zoom_out_map
[edit security ike gateway IKE-GW] user@SRX1#set ike-policy IKE-POL
结果
在配置模式下,输入命令以确认 show security ike 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
content_copy zoom_out_map
[edit] user@host#show security ikeproposal standard { authentication-method pre-shared-keys; } policy IKE-POL { mode main; proposals standard; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway IKE-GW { ike-policy IKE-POL; address 172.16.23.1; external-interface ge-0/0/1; }Show more
配置 IPsec
CLI 快速配置
要为 SRX1 快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
content_copy zoom_out_map
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 CLI 用户指南。
要配置 IPsec:
创建 IPsec 提议。
content_copy zoom_out_map
[edit] user@SRX1#set security ipsec proposal standard
创建 IPsec 策略。
content_copy zoom_out_map
[edit security ipsec] user@SRX1#set policy IPSEC-POL
指定 IPsec 提议参考。
content_copy zoom_out_map
[edit security ipsec policy IPSEC-POL] user@SRX1#set proposals standard
指定 IKE 网关。
content_copy zoom_out_map
[edit security ipsec] user@SRX1#set vpn VPN-to-Host2 ike gateway IKE-GW
指定 IPsec 策略。
content_copy zoom_out_map
[edit security ipsec] user@SRX1#set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
配置要立即建立的隧道。
content_copy zoom_out_map
[edit security ipsec] user@SRX1#set vpn VPN-to-Host2 establish-tunnels immediately
结果
在配置模式下,输入命令以确认 show security ipsec 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
content_copy zoom_out_map
[edit] user@SRX1#show security ipsecproposal standard; policy IPSEC-POL { proposals standard; } vpn VPN-to-Host2 { ike { gateway IKE-GW; ipsec-policy IPSEC-POL; } establish-tunnels immediately; }配置安全策略
CLI 快速配置
要为 SRX1 快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
content_copy zoom_out_map
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Show more
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 CLI 用户指南。
要配置安全策略:
为将在安全策略中使用的网络创建通讯簿条目。
content_copy zoom_out_map
[edit] user@SRX1#set security address-book Host1 address Host1-Net 10.100.11.0/24user@SRX1#set security address-book Host1 attach zone trustuser@SRX1#set security address-book Host2 address Host2-Net 10.100.22.0/24user@SRX1#set security address-book Host2 attach zone untrust
创建安全策略,以匹配从信任区域中的 Host1 到不信任区域中的 Host2 的流量。
content_copy zoom_out_map
[edit security policies from-zone trust to-zone untrust] user@SRX1#set policy VPN-OUT match source-address Host1-Netuser@SRX1#set policy VPN-OUT match destination-address Host2-Netuser@SRX1#set policy VPN-OUT match application anyuser@SRX1#set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
创建安全策略以允许从信任区域到不信任区域的所有其他流量传输到互联网。
content_copy zoom_out_map
[edit security policies from-zone trust to-zone untrust] user@SRX1#set policy default-permit match source-address anyuser@SRX1#set policy default-permit match destination-address anyuser@SRX1#set policy default-permit match application anyuser@SRX1#set policy default-permit then permit
创建安全策略以允许从不信任区域的 Host2 到信任区域中的 Host1 的流量。
content_copy zoom_out_map
[edit security policies from-zone untrust to-zone trust] user@SRX1#set policy VPN-IN match source-address Host2-Netuser@SRX1#set policy VPN-IN match destination-address Host1-Netuser@SRX1#set policy VPN-IN match application anyuser@SRX1#set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
content_copy zoom_out_map
[edit] user@SRX1#show security policiesfrom-zone trust to-zone untrust { policy VPN-OUT { match { source-address Host1-Net; destination-address Host2-Net; application any; } then { permit { tunnel { ipsec-vpn VPN-to-Host2; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy VPN-IN { match { source-address Host2-Net; destination-address Host1-Net; application any; } then { permit { tunnel { ipsec-vpn VPN-to-Host2; } } } } }Show more
配置 TCP-MSS
CLI 快速配置
要为 SRX1 快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
content_copy zoom_out_map
set security flow tcp-mss ipsec-vpn mss 1350
逐步过程
要配置 TCP-MSS 信息:
配置 TCP-MSS 信息。
content_copy zoom_out_map
[edit] user@SRX1#set security flow tcp-mss ipsec-vpn mss 1350
结果
在配置模式下,输入命令以确认 show security flow 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
content_copy zoom_out_map
[edit] user@SRX1#show security flowtcp-mss { ipsec-vpn { mss 1350; } }完成设备配置后,请从配置模式进入 commit 。
配置 SRX2
CLI 快速配置
为了参考,提供了 SRX2 的配置。
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit 。
content_copy zoom_out_map
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Show more
验证
要确认配置工作正常,请执行以下任务:
验证 IKE 状态
目的
验证 IKE 状态。
行动
在操作模式下,输入 show security ike security-associations 命令。从命令获取索引号后,请使用 show security ike security-associations index index_number detail 命令。
content_copy zoom_out_map
user@SRX1>show security ike security-associationsIndex State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
content_copy zoom_out_map
user@SRX1>show security ike security-associations index 1859361 detailIKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW Role: Responder, State: UP Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba Exchange type: Main, Authentication method: Pre-shared-keys Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Lifetime: Expires in 17567 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 172.16.23.1 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1740 Output bytes : 1132 Input packets: 15 Output packets: 7 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 4 created, 4 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Local identity: 172.16.13.1 Remote identity: 172.16.23.1 Flags: IKE SA is created
Show more
含义
命令 show security ike security-associations 会列出所有活动 IKE 第 1 阶段安全关联 (SA)。如果未列出任何 SA,则第 1 阶段建立存在问题。检查配置中的 IKE 策略参数和外部接口设置。
如果列出了 SA,请查看以下信息:
索引 — 此值对于每个 IKE SA 都是唯一的,您可以在命令中使用
show security ike security-associations index detail此值来获取有关 SA 的更多信息。远程地址 — 验证远程 IP 地址是否正确。
省/市/自治区
UP — 已建立第 1 阶段 SA。
DOWN — 建立第 1 阶段 SA 时出现问题。
模式 — 验证是否使用了正确的模式。
验证配置中的以下各项是否正确:
外部接口(接口必须是接收 IKE 数据包的接口)
IKE 策略参数
预共享密钥信息
第 1 阶段提议参数(必须在两个对等方上匹配)
命令 show security ike security-associations index 1859361 detail 会列出有关索引号为1859361的安全关联的其他信息:
使用的身份验证和加密算法
第 1 阶段生存期
流量统计信息(可用于验证流量是否在两个方向上正确流动)
发起方和响应方角色信息
最好使用响应方角色在对等方上执行故障排除。
创建的 IPsec SA 数
进行中的第 2 阶段协商数
验证 IPsec 第 2 阶段状态
目的
验证 IPsec 第 2 阶段状态。
行动
在操作模式下,输入 show security ipsec security-associations 命令。从命令获取索引号后,请使用 show security ipsec security-associations index index_number detail 命令。
content_copy zoom_out_map
user@SRX1show security ipsec security-associationsTotal active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
content_copy zoom_out_map
user@SRX1>show security ipsec security-associations index 2 detailID: 2 Virtual-system: root, VPN Name: VPN-to-Host2 Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1 Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times) Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times) Wed Jul 28 2021 15:20:58 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times) Wed Jul 28 2021 15:05:13 : Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times) Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times) Wed Jul 28 2021 11:17:38 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times) Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times) Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times) Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times) Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times) Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 828 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 234 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 6388a743, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 828 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 234 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Show more
含义
命令的 show security ipsec security-associations 输出列出了以下信息:
ID 编号为 2。将此值与命令一起
show security ipsec security-associations index用于获取有关此特定 SA 的更多信息。有一个使用端口 500 的 IPsec SA 对,表示未实现 NAT 遍历。(NAT 遍历使用端口 4500 或其他随机高编号端口。)
两个方向都显示 SAPI、生存期(以秒为单位)和使用限制(或生存大小,以 KB 为单位)。921/ unlim 值表示第 2 阶段的生存期将在 921 秒后过期,并且尚未指定生存大小时,表示无限制。第 2 阶段的生存期可以不同于第 1 阶段的生存期,因为第 2 阶段不依赖于启动 VPN 后的第 1 阶段。
如 Mon 列中的连字符所示,未为此 SA 启用 VPN 监控。如果启用了 VPN 监控,则列出 U(up)或 D(向下)。
虚拟系统 (vsys) 是根系统,始终列出 0。
命令的 show security ipsec security-associations index 2 detail 输出列出了以下信息:
本地身份和远程身份构成 SA 的代理 ID。
代理 ID 不匹配是导致第 2 阶段故障的最常见原因之一。对于基于策略的 VPN,代理 ID 源自安全策略。本地地址和远程地址源自通讯簿条目,服务源自为策略配置的应用程序。如果第 2 阶段因代理 ID 不匹配而失败,您可以使用策略确认配置了哪些通讯簿条目。验证地址是否与要发送的信息匹配。检查服务,确保端口与所发送的信息匹配。
测试通过 VPN 的流量
目的
验证通过 VPN 的流量。
行动
ping使用 Host1 设备的命令测试流向 Host2 的流量。
content_copy zoom_out_map
user@Host1>ping 10.100.22.1 rapid count 100PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
含义
ping如果命令在 Host1 中失败,则可能是路由、安全策略、终端主机或 ESP 数据包的加密和解密存在问题。
查看 IPsec 安全关联的统计信息和错误
目的
查看 IPsec 安全关联的 ESP 和身份验证标头计数器和错误。
行动
在操作模式下, show security ipsec statistics index index_number 输入命令,使用要查看其统计信息的 VPN 的索引号。
content_copy zoom_out_map
user@SRX1>show security ipsec statistics index 2ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Show more
您还可以使用 show security ipsec statistics 命令查看所有 SA 的统计信息和错误。
要清除所有 IPsec 统计信息,请使用 clear security ipsec statistics 命令。
含义
如果发现 VPN 存在数据包丢失问题,可以多次运行 show security ipsec statistics 命令以确认加密和解密数据包计数器是否在递增。您还应检查其他错误计数器是否在递增。
另请参阅
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4431.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
