设为首页收藏本站
开启辅助访问
IPsec VPN 配置概述 您所在的位置:网站首页 ipsec dh组 IPsec VPN 配置概述

IPsec VPN 配置概述

2023-06-29 04:33| 来源: 网络整理| 查看: 265

OSPFv3 没有内置的身份验证方法,依靠 IP 安全 (IPsec) 套件提供此功能。IPsec 提供源身份验证、数据完整性、机密性、重放保护和源不可否认性。您可以使用 IPsec 保护特定的 OSPFv3 接口和虚拟链路,并为 OSPF 数据包提供加密。

OSPFv3 使用 IPsec 协议的 IP 身份验证头 (AH) 和 IP 封装安全有效负载 (ESP) 部分来验证对等方之间的路由信息。AH 可以提供无连接完整性和数据源身份验证。它还提供了防止重播的保护。AH 会验证尽可能多的 IP 报头以及上一级协议数据。但是,某些 IP 报头字段可能会在传输过程中发生变化。由于发送方可能无法预测这些字段的值,因此无法受 AH 保护。ESP 可以提供加密和有限流量机密性或无连接完整性、数据源身份验证和反重放服务。

IPsec 基于安全关联 (SA)。SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规格。这种单工连接可为 SA 携带的数据包提供安全服务。这些规格包括建立 IPsec 连接时使用的身份验证、加密和 IPsec 协议类型的偏好。SA 用于对一个方向上的特定流进行加密和身份验证。因此,在正常双向流量中,流由一对 SA 保护。要与 OSPFv3 配合使用的 SA 必须手动配置并使用传输模式。必须在 SA 的两端配置静态值。

要为 OSPF 或 OSPFv3 配置 IPsec,首先在 [edit security ipsec] 层次结构级别使用security-association sa-name选项定义手动 SA。此功能仅支持传输模式下的双向手动密钥 SA。手动 SA 不需要对等方之间进行协商。包括密钥在内的所有值都是静态的,并在配置中指定。手动 SA 以静态方式定义要使用的安全参数索引 (SPI) 值、算法和密钥,并且需要在两个端点(OSPF 或 OSPFv3 对等方)上进行匹配配置。因此,每个对等方必须具有相同配置的选项才能进行通信。

实际选择的加密和身份验证算法留给您的 IPsec 管理员;但是,我们提供以下建议:

使用具有空加密的 ESP 对协议标头提供身份验证,但不能为 IPv6 报头、扩展标头和选项提供身份验证。使用空加密时,您将选择不对协议标头提供加密。这可用于故障排除和调试。有关空加密的更多信息,请参阅 RFC 2410, NULL 加密算法及其与 IPsec 的配合使用。

将 ESP 与 DES 或 3DES 配合使用可完全保密。

使用 AH 为协议标头、IPv6 报头中的不可变字段以及扩展标头和选项提供身份验证。

配置的 SA 将应用于 OSPF 或 OSPFv3 配置,如下所示:

对于 OSPF 或 OSPFv3 接口,请将语句 ipsec-sa name 包含在 [edit protocols ospf area area-id interface interface-name] 或 [edit protocols ospf3 area area-id interface interface-name] 层次结构级别。只能为 OSPF 或 OSPFv3 接口指定一个 IPsec SA 名称;但是,不同的 OSPF/OSPFv3 接口可以指定相同的 IPsec SA。

对于 OSPF 或 OSPFv3 虚拟链路,请将语句 ipsec-sa name 包含在 [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] 或 [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 层次结构级别。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。

以下限制适用于 SRX 系列设备上的 OSPF 或 OSPFv3 的 IPsec 身份验证:

在 [edit security ipsec vpn vpn-name manual] 层次结构级别配置的手动 VPN 配置不能应用于 OSPF 或 OSPFv3 接口或虚拟链路以提供 IPsec 身份验证和机密性。

如果设备上配置了具有相同本地地址和远程地址的现有 IPsec VPN,则无法为 OSPF 或 OSPFv3 身份验证配置 IPsec。

安全隧道 st0 接口不支持 OSPF 或 OSPFv3 身份验证的 IPsec。

不支持重新加密手动密钥。

不支持动态互联网密钥交换 (IKE) SA。

仅支持 IPsec 传输模式。在传输模式下,仅对 IP 数据包的有效负载(您传输的数据)进行加密和/或身份验证。不支持隧道模式。

由于仅支持双向手动 SA,因此所有 OSPFv3 对等方都必须使用相同的 IPsec SA 进行配置。您可以在 [edit security ipsec] 层次结构级别配置手动双向 SA。

您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有