×

juniper防火墙基于策略和路由模式配置IPsecVPN

hqy hqy 发表于2019-11-21 17:21:24 浏览3714 评论2

2人参与发表评论

juniper防火墙基于策略和路由配置IPsecVPN。Site to Stieipsec-vpn(站点到站点,也就是两个局域网做VPN)在国内应用是非常广的,毕竟在07-10年算是国内防火墙中比较出彩又讨网工喜欢的系列。


ipsec-vpn也分路由模式和策略模式,两种ipsec-vpn的实现原理过程解释:

①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道。

②基于路由的IPsec VPN: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中。


再有IPsec VPN进行加密两种ipsec-vpn的区别:

①基于策略的IPsce VPN可以再网关部署和透明部署的防火墙上建立,基于策略的IPsecvpn建立后,在VPN隧道中仅能传输单播数据;

②基于接口的IPsec VPN只能在网关模式下施工部署,不可以在透明模式下部署,相对于策略模式IPsec vpn优点在于:基于路由IPsecvpn可在VPN隧道中传组播应用,拿资历老大的思科来讲,上海和深圳跑了GRE,但在这条隧道上跑的数据均是明文传输,无法得到加密。咋破了,比如:GRE over Ipsec VPN。


基于策略模式的IPSECVPN配置


环境介绍:

设备:JUNIPER SSG 320M, 两边固定IP。

共享密钥:cainiaoqidian

加密: 3des ,    hash   sha ,    group 2 

A站点IP 地址: 192.168.100.x/24,   B站点IP地址:192.168.200.x/24.


我们只说A站点配置即可,因为B站点的配置和A基本完全一样,只是对端地址不同!

第一步:  VPNs > AutoKey Advanced > Gateway,新建一个网关。

c1.jpg


gateway 的名字自定义,方便识别即可,没有什么要求。

c2.png

Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的VPN隧道协商加密算法、选择VPN的发起模式,DPD检测最好勾选,模式选择主模式 ,outgoing interface 选择公网出接口。


c3.jpg

注释:

PreshareKey:俩边密钥一定要一致

Outgoinginterface:选择公网出接口

Securitylevel:任意指定对应算法参数,保证俩端一致即可


第一阶段完成。第二段主要是配置IKE部份。


第二步,IKE配置:

VPNs > AutoKey IKE位置,新建一个IKE.

VPN Name:名字自定议,自己看的懂就行了。

Predefined:这里就选上第一步定议好的网关。

C4.jpg

IKE高级配置:

主要是加密方式,两边保持一样即可。

Proxy-ID,这个相同厂家可以不用。

下面的监控,化选等选项,在不同的项目中可以试验证钩选!

c5.png


第三步,建议VPN的策略


  Policy > Policies (From Trust To Untrust)

c6.jpg

查看已建立好的策略。

c7.jpg


最后,就是另一边的设置了。除了第一步网关设置时填入的公网IP地址不同外,其它均相同。

就是VPN连接及查看状态:

VPN的建立需要有数据通信才会建立(这是SSG系列中比较不先进的机制,现在很多产商都优化过了,比如自动触发,长连接模式等等),如果两边都是固定IP,任意一端ping一下对端的内网网关,如果一端是动态IP的话就必须从动态IP端发起连接才能顺利建立IPsec VPN的连接。

c8.jpg


SA status 显示 active就对了,link显示up就对了!

这是一种基于策略模式的IPSECVPN就配置好了!


打赏

本文链接:https://www.kinber.cn/post/1021.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客
访客 访客2022-06-17 16:23:42 · 回复 大神请教一下SA status 显示 active,link显示off,故障大概是什么?
访客 访客2022-06-17 16:24:09 · 回复 请教一下SA status 显示 active,link显示off,故障大概是什么?