Juniper防火墙IPSec VPN的配置

描述

Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基于策略的 VPN。

站点间(Site-to-Site)的 VPN 是 IPSec VPN 的典型应用,这里我们介绍两种站点间基于策略 VPN 的实现方式:站点两端都具备静态公网 IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网 IP 地址。

一、站点间IPSec VPN配置:staic ip-to-staic ip

当创建站点两端都具备静态 IP 的 VPN 应用中,位于两端的防火墙上的 VPN 配置基本相同,不同之处是在 VPN gateway部分的 VPN 网关指向 IP 不同,其它部分相同。

VPN 组网拓扑图:

staic ip-to-staic ip

防火墙

1.1 使用Web浏览器方式配置

① 登录防火墙设备,配置防火墙为三层部署模式;

② 定义VPN 第一阶段的相关配置:VPNs=>Autokey Adwanced=>Gateway配置VPN gateway部分,定义VPN 网关名称、定义“对端 VPN 设备的公网IP 地址”为本地 VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口;

防火墙

③ 在 VPN gateway的高级(Advanced)部分,定义相关的 VPN 隧道协商的加密算法、选择 VPN 的发起模式;

防火墙

④ 配置 VPN 第一阶段完成显示列表如下图;

防火墙

⑤ 定义 VPN 第二阶段的相关配置:VPNs=>Autokey IKE在 Autokey IKE 部分,选择第一阶段的 VPN 配置;

防火墙

⑥ 在 VPN 第二阶段高级(Advances)部分,选择 VPN 的加密算法;

防火墙

⑦ 配置 VPN 第二阶段完成显示列表如下图;

防火墙

⑧ 定义 VPN 策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN 隧道选择为:刚刚定义的隧道,选择自动设置为双向策略;

防火墙防火墙

1.2 使用命令行方式配置

CLI ( 东京)

① 配置接口参数

 

set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24

 

② 定义路由

 

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

 

③ 定义地址

 

set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24

 

④ 定义IPSec VPN

 

set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible

 

⑤ 定义策略

 

set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save

 

CLI ( 巴黎)

① 定义接口参数

 

set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24

 

② 定义路由

 

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250

 

③ 定义地址

 

set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24

 

④ 定义IPSec VPN

 

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible

 

⑤ 定义策略

 

set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save

 

二、站点间IPSec VPN配置:staic ip-to-dy namic ip

在站点间 IPSec VPN 应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网 IP 地址,而另外一端只有动态的公网 IP 地址,以下讲述的案例是在这种情况下,Juniper 防火墙如何建立 IPSec VPN 隧道。

基本原则:在这种 IPSec VPN 组网应用中,拥有静态公网 IP 地址的一端作为被访问端出现,拥有动态公网 IP 地址的一端作为 VPN 隧道协商的发起端。

和站点两端都具备静态 IP 地址的配置的不同之处在于 VPN 第一阶段的相关配置,在主动发起端(只有动态公网 IP 地址一端)需要指定 VPN 网关地址,需配置一个本地 ID,配置 VPN发起模式为:主动模式;在站点另外一端(拥有静态公网 IP 地址一端)需要指定 VPN 网关地址为对端设备的 ID 信息,不需要配置本地 ID,其它部分相同。

IPSec VPN 组网拓扑图: staic ip-to-dynamic ip

防火墙

2.1 使用Web浏览器方式配置

① VPN 第一阶段的配置:动态公网 IP 地址端。

VPN 的发起必须由本端开始,动态地址端可以确定对端防火墙的 IP 地址,因此在 VPN阶段一的配置中,需指定对端 VPN 设备的静态 IP 地址。同时,在本端设置一个 LocalID,提供给对端作为识别信息使用。

防火墙

② VPN 第一阶段的高级配置:动态公网 IP 地址端。

在 VPN 阶段一的高级配置中动态公网 IP 一端的 VPN 的发起模式应该配置为:主动模式( Aggressive )

防火墙

③ VPN 第一阶段的配置:静态公网IP 地址端。

在拥有静态公网IP 地址的防火墙一端,在VPN 阶段一的配置中,需要按照如下图所示的配置: “Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置Peer ID(和在动态IP 地址一端设置的Local ID 相同)。

防火墙

④ VPN 第二阶段配置,和在”static ip-to-static ip”模式下相同。

防火墙

⑤ VPN 的访问控制策略,和在”static ip-to-static ip”模式下相同。

防火墙防火墙

2.2 使用命令行方式配置

CLI ( 设备-A)

① 定义接口参数

 

set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5

 

② 定义路由

 

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

 

③ 定义用户

 

set user pmason password Nd4syst4

 

④ 定义地址

 

set address trust "trusted network" 10.1.1.0/24
set address untrust "mail server" 3.3.3.5/32

 

⑤ 定义服务

 

set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3

 

⑥ 定义VPN

 

set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn branch_corp gateway to_mail sec-level compatible

 

⑦ 定义策略

 

set policy top from trust to untrust "trusted network" "mail server" remote_mail
tunnel vpn branch_corp auth server Local user pmason
set policy top from untrust to trust "mail server" "trusted network" remote_mail
tunnel vpn branch_corp
save

 

CLI ( 设备-B)

① 定义接口参数

 

set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24

 

② 路由

 

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250

 

③ 定义地址

 

set address dmz "mail server" 3.3.3.5/32
set address untrust "branch office" 10.1.1.0/24

 

④ 定义服务

 

set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3

 

⑤ 定义VPN

 

set ike gateway to_branch dynamic pmason@abc.com aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_branch gateway to_branch tunnel sec-level compatible

 

⑥ 定义策略

 

set policy top from dmz to untrust "mail server" "branch office" remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz "branch office" "mail server" remote_mail
tunnel vpn corp_branch
save

 

  审核编辑:汤梓红

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分