Juniper SRX空白代理-标识

Question

我非常希望对以下问题作出一些澄清。

我看到了什么，

我正在查看两个不同的SRX210防火墙，特别是它们的ipsec节。我看到了以下情况，这让我对代理身份产生了疑问：

admin@firewall> show configuration security ipsec vpn <vpn-name>
bind-interface st0.1;
ike {
    gateway <gateway>;
    proxy-identity;
    ipsec-policy <policy-name>;
}

如果我在艾克之后做了一个提问，我就会产生以下对我理解这一点毫无帮助的东西：

admin@firewall# set security ipsec vpn <vpn-name> ike ?
Possible completions:
> proxy-identity       IPSec proxy-id to use in IKE negotiations

问题

在SRX的配置中，在代理标识之后不输入任何内容，会产生什么影响？

马克:为了安全起见，所有的名字和标识都被替换了。

提前感谢！

Answer 1

代理标识默认为您在策略上设置的任何内容(在基于策略的VPN中)。对于基于路由的VPN，它默认为：

proxy-identity {
   local 0.0.0.0/0;
   remote 0.0.0.0/0;
   service any;
}

代理标识仅用于协商VPN的IKE阶段，并且必须镜像VPN隧道的另一个站点上设置的代理标识。一旦隧道建成，它对实际通过或允许车辆通过隧道没有任何影响，这必须通过路线和(或)政策来完成。

如果您可以访问Juniper路由器，就很容易验证这一点，您可以在那里乱搞VPN设置。

无代理标识设置

测试默认设置，而不提及代理标识。

vpn ike-vpn {
    bind-interface st0.0;
    ike {
        gateway gw-vpn;
        ipsec-policy ipsec-phase2-policy;
    }
}

建立VPN时，使用0.0.0.0/0作为本地和远程子网：

root@srx-01> show security ipsec security-associations detail
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn
  Local Gateway: 192.168.159.133, Remote Gateway: 192.168.159.128
  Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
  Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0

真实代理-标识设置

作为第二个测试，我添加了真正的代理标识设置，以匹配远程和本地子网：

vpn ike-vpn {
    bind-interface st0.0;
    ike {
        gateway gw-vpn;
        proxy-identity {
            local 10.2.1.0/24;
            remote 10.1.1.0/24;
        }
        ipsec-policy ipsec-phase2-policy;
    }
}

正如预期的那样，隧道是使用适当的本地和远程子网信息建立的：

root@srx-01# run show security ipsec security-associations detail
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn
  Local Gateway: 192.168.159.133, Remote Gateway: 192.168.159.128
  Local Identity: ipv4_subnet(any:0,[0..7]=10.2.1.0/24)
  Remote Identity: ipv4_subnet(any:0,[0..7]=10.1.1.0/24)

空白代理-标识

现在，我将从代理标识节中删除本地和远程子网：

vpn ike-vpn {
    bind-interface st0.0;
    ike {
        gateway gw-vpn;
        proxy-identity;
        ipsec-policy ipsec-phase2-policy;
    }
}

该隧道采用0.0.0.0/0作为局部子网和远程子网。

root@srx-02# run show security ipsec security-associations detail
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn
  Local Gateway: 192.168.159.128, Remote Gateway: 192.168.159.133
  Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
  Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)

换句话说，我的假设是正确的，保留空段意味着路由器使用它的默认设置。

Answer 2

我不得不将P2P ASA5515和SRX220之间的连接迁移到新的FortiGate 500 D和相同的SRX220。

SRX配置为基于路由的模式，但由于它必须与旧的ASA对话，它包含具有本地和远程子网定义的代理标识。

起初，我想我必须将SRX更新到beta 12.1x46固件，这样我就可以为代理标识指定多个条目，以便在多个子网上传递通信量。但是，FortiNet支持澄清了FortiGate不需要代理标识字段，我只是从SRX配置中删除了它。

我可以确认RobinG的答案是正确的。如果省略代理标识选项，本地和远程标识将为0.0.0.0/0。这也是FortiGate上的预期行为。谢谢你贴出这个问题，因为它大大帮助我迁移我的VPN。