Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基于策略的 VPN。
站点间(Site-to-Site)的 VPN 是 IPSec VPN 的典型应用,这里我们介绍两种站点间基于策略 VPN 的实现方式:站点两端都具备静态公网 IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网 IP 地址。
一、站点间IPSec VPN配置:staic ip-to-staic ip
当创建站点两端都具备静态 IP 的 VPN 应用中,位于两端的防火墙上的 VPN 配置基本相同,不同之处是在 VPN gateway部分的 VPN 网关指向 IP 不同,其它部分相同。
VPN 组网拓扑图:
staic ip-to-staic ip
1.1 使用Web浏览器方式配置
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义VPN 第一阶段的相关配置:VPNs=>Autokey Adwanced=>Gateway配置VPN gateway部分,定义VPN 网关名称、定义“对端 VPN 设备的公网IP 地址”为本地 VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口;
③ 在 VPN gateway的高级(Advanced)部分,定义相关的 VPN 隧道协商的加密算法、选择 VPN 的发起模式;
④ 配置 VPN 第一阶段完成显示列表如下图;
⑤ 定义 VPN 第二阶段的相关配置:VPNs=>Autokey IKE在 Autokey IKE 部分,选择第一阶段的 VPN 配置;
⑥ 在 VPN 第二阶段高级(Advances)部分,选择 VPN 的加密算法;
⑦ 配置 VPN 第二阶段完成显示列表如下图;
⑧ 定义 VPN 策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN 隧道选择为:刚刚定义的隧道,选择自动设置为双向策略;
1.2 使用命令行方式配置
CLI ( 东京)
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
③ 定义地址
set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24
④ 定义IPSec VPN
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn tokyo_paris gateway to_paris sec-level compatible
⑤ 定义策略
set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office any tunnel vpn tokyo_paris set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_paris save
CLI ( 巴黎)
① 定义接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③ 定义地址
set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24
④ 定义IPSec VPN
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn paris_tokyo gateway to_tokyo sec-level compatible
⑤ 定义策略
set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyo set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyo save
二、站点间IPSec VPN配置:staic ip-to-dy namic ip
在站点间 IPSec VPN 应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网 IP 地址,而另外一端只有动态的公网 IP 地址,以下讲述的案例是在这种情况下,Juniper 防火墙如何建立 IPSec VPN 隧道。
基本原则:在这种 IPSec VPN 组网应用中,拥有静态公网 IP 地址的一端作为被访问端出现,拥有动态公网 IP 地址的一端作为 VPN 隧道协商的发起端。
和站点两端都具备静态 IP 地址的配置的不同之处在于 VPN 第一阶段的相关配置,在主动发起端(只有动态公网 IP 地址一端)需要指定 VPN 网关地址,需配置一个本地 ID,配置 VPN发起模式为:主动模式;在站点另外一端(拥有静态公网 IP 地址一端)需要指定 VPN 网关地址为对端设备的 ID 信息,不需要配置本地 ID,其它部分相同。
IPSec VPN 组网拓扑图: staic ip-to-dynamic ip
2.1 使用Web浏览器方式配置
① VPN 第一阶段的配置:动态公网 IP 地址端。
VPN 的发起必须由本端开始,动态地址端可以确定对端防火墙的 IP 地址,因此在 VPN阶段一的配置中,需指定对端 VPN 设备的静态 IP 地址。同时,在本端设置一个 LocalID,提供给对端作为识别信息使用。
② VPN 第一阶段的高级配置:动态公网 IP 地址端。
在 VPN 阶段一的高级配置中动态公网 IP 一端的 VPN 的发起模式应该配置为:主动模式( Aggressive )
③ VPN 第一阶段的配置:静态公网IP 地址端。
在拥有静态公网IP 地址的防火墙一端,在VPN 阶段一的配置中,需要按照如下图所示的配置: “Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置Peer ID(和在动态IP 地址一端设置的Local ID 相同)。
④ VPN 第二阶段配置,和在”static ip-to-static ip”模式下相同。
⑤ VPN 的访问控制策略,和在”static ip-to-static ip”模式下相同。
2.2 使用命令行方式配置
CLI ( 设备-A)
① 定义接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 dhcp client set interface ethernet3 dhcp client settings server 1.1.1.5
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
③ 定义用户
set user pmason password Nd4syst4
④ 定义地址
set address trust "trusted network" 10.1.1.0/24 set address untrust "mail server" 3.3.3.5/32
⑤ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113 set group service remote_mail set group service remote_mail add http set group service remote_mail add ftp set group service remote_mail add telnet set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3
⑥ 定义VPN
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn branch_corp gateway to_mail sec-level compatible
⑦ 定义策略
set policy top from trust to untrust "trusted network" "mail server" remote_mail tunnel vpn branch_corp auth server Local user pmason set policy top from untrust to trust "mail server" "trusted network" remote_mail tunnel vpn branch_corp save
CLI ( 设备-B)
① 定义接口参数
set interface ethernet2 zone dmz set interface ethernet2 ip 3.3.3.3/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
② 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③ 定义地址
set address dmz "mail server" 3.3.3.5/32 set address untrust "branch office" 10.1.1.0/24
④ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113 set group service remote_mail set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3
⑤ 定义VPN
set ike gateway to_branch dynamic pmason@abc.com aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn corp_branch gateway to_branch tunnel sec-level compatible
⑥ 定义策略
set policy top from dmz to untrust "mail server" "branch office" remote_mail tunnel vpn corp_branch set policy top from untrust to dmz "branch office" "mail server" remote_mail tunnel vpn corp_branch save
审核编辑:汤梓红
全部0条评论
快来发表一下你的评论吧 !