Juniper防火墙IPSec VPN的配置

juniper 所有系列防火墙(除部分早期型号外)都支持 ipsec vpn,其配置方式有多种,包括:基于策略的 vpn、基于路由的 vpn、集中星形 vpn 和背靠背 vpn 等。在这里,我们主要介绍最常用的 vpn 模式:基于策略的 vpn。
站点间(site-to-site)的 vpn 是 ipsec vpn 的典型应用,这里我们介绍两种站点间基于策略 vpn 的实现方式:站点两端都具备静态公网 ip 地址;站点两端其中一端具备静态公网ip 地址,另一端动态公网 ip 地址。
一、站点间ipsec vpn配置:staic ip-to-staic ip
当创建站点两端都具备静态 ip 的 vpn 应用中,位于两端的防火墙上的 vpn 配置基本相同,不同之处是在 vpn gateway部分的 vpn 网关指向 ip 不同,其它部分相同。
vpn 组网拓扑图:
staic ip-to-staic ip
1.1 使用web浏览器方式配置
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义vpn 第一阶段的相关配置:vpns=>autokey adwanced=>gateway配置vpn gateway部分,定义vpn 网关名称、定义“对端 vpn 设备的公网ip 地址”为本地 vpn 设备的网关地址、定义预共享密钥、选择发起 vpn 服务的物理端口;
③ 在 vpn gateway的高级(advanced)部分,定义相关的 vpn 隧道协商的加密算法、选择 vpn 的发起模式;
④ 配置 vpn 第一阶段完成显示列表如下图;
⑤ 定义 vpn 第二阶段的相关配置:vpns=>autokey ike在 autokey ike 部分,选择第一阶段的 vpn 配置;
⑥ 在 vpn 第二阶段高级(advances)部分,选择 vpn 的加密算法;
⑦ 配置 vpn 第二阶段完成显示列表如下图;
⑧ 定义 vpn 策略,选择地址和服务信息,策略动作选择为:隧道模式;vpn 隧道选择为:刚刚定义的隧道,选择自动设置为双向策略;
1.2 使用命令行方式配置
cli ( 东京)
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24  
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250  
③ 定义地址
set address trust trust_lan 10.1.1.0/24set address untrust paris_office 10.2.2.0/24  
④ 定义ipsec vpn
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshareh1p8a24ng5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible  
⑤ 定义策略
set policy top name to/from paris from trust to untrust trust_lan paris_officeany tunnel vpn tokyo_parisset policy top name to/from paris from untrust to trust paris_office trust_lanany tunnel vpn tokyo_parissave  
cli ( 巴黎)
① 定义接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24  
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250  
③ 定义地址
set address trust trust_lan 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24  
④ 定义ipsec vpn
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshareh1p8a24ng5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible  
⑤ 定义策略
set policy top name to/from tokyo from trust to untrust trust_lan tokyo_officeany tunnel vpn paris_tokyoset policy top name to/from tokyo from untrust to trust tokyo_office trust_lanany tunnel vpn paris_tokyosave  
二、站点间ipsec vpn配置:staic ip-to-dy namic ip
在站点间 ipsec vpn 应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网 ip 地址,而另外一端只有动态的公网 ip 地址,以下讲述的案例是在这种情况下,juniper 防火墙如何建立 ipsec vpn 隧道。
基本原则:在这种 ipsec vpn 组网应用中,拥有静态公网 ip 地址的一端作为被访问端出现,拥有动态公网 ip 地址的一端作为 vpn 隧道协商的发起端。
和站点两端都具备静态 ip 地址的配置的不同之处在于 vpn 第一阶段的相关配置,在主动发起端(只有动态公网 ip 地址一端)需要指定 vpn 网关地址,需配置一个本地 id,配置 vpn发起模式为:主动模式;在站点另外一端(拥有静态公网 ip 地址一端)需要指定 vpn 网关地址为对端设备的 id 信息,不需要配置本地 id,其它部分相同。
ipsec vpn 组网拓扑图: staic ip-to-dynamic ip
2.1 使用web浏览器方式配置
① vpn 第一阶段的配置:动态公网 ip 地址端。
vpn 的发起必须由本端开始,动态地址端可以确定对端防火墙的 ip 地址,因此在 vpn阶段一的配置中,需指定对端 vpn 设备的静态 ip 地址。同时,在本端设置一个 localid,提供给对端作为识别信息使用。
② vpn 第一阶段的高级配置:动态公网 ip 地址端。
在 vpn 阶段一的高级配置中动态公网 ip 一端的 vpn 的发起模式应该配置为:主动模式( aggressive )
③ vpn 第一阶段的配置:静态公网ip 地址端。
在拥有静态公网ip 地址的防火墙一端,在vpn 阶段一的配置中,需要按照如下图所示的配置: “remote gateway type”应该选择“dynamic ip address”,同时设置peer id(和在动态ip 地址一端设置的local id 相同)。
④ vpn 第二阶段配置,和在”static ip-to-static ip”模式下相同。
⑤ vpn 的访问控制策略,和在”static ip-to-static ip”模式下相同。
2.2 使用命令行方式配置
cli ( 设备-a)
① 定义接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.1.5  
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3  
③ 定义用户
set user pmason password nd4syst4  
④ 定义地址
set address trust trusted network 10.1.1.0/24set address untrust mail server 3.3.3.5/32  
⑤ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3  
⑥ 定义vpn
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.comoutgoing-interface ethernet3 preshare h1p8a24ng5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible  
⑦ 定义策略
set policy top from trust to untrust trusted network mail server remote_mailtunnel vpn branch_corp auth server local user pmasonset policy top from untrust to trust mail server trusted network remote_mailtunnel vpn branch_corpsave  
cli ( 设备-b)
① 定义接口参数
set interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24  
② 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250  
③ 定义地址
set address dmz mail server 3.3.3.5/32set address untrust branch office 10.1.1.0/24  
④ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3  
⑤ 定义vpn
set ike gateway to_branch dynamic pmason@abc.com aggressiveoutgoing-interface ethernet3 preshare h1p8a24ng5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible  
⑥ 定义策略
set policy top from dmz to untrust mail server branch office remote_mailtunnel vpn corp_branchset policy top from untrust to dmz branch office mail server remote_mailtunnel vpn corp_branchsave  


移动通信基站用直流供电系统
FPGA的IO约束如何使用
射频MEMS开关技术的最新进展解析
第五届前海湾照明工程奖年度十大青年设计师获奖名单
英特尔将在2021实现首发7nm产品
Juniper防火墙IPSec VPN的配置
盘点分析HDD和SSD硬盘在企业级及消费级市场的变化
疫情后的5个变化趋势和5G生态系统建设
LCD面板涨价20%,电视机或将迎来集体涨价局面
SpinalHDL里如何实现Sobel边缘检测
消防设备电源监控系统在广西体育中心项目的应用
双气传感器在有限空间作业的应用
OpenHarmony HDF Input驱动模型分析与使用
基于AB类放大器设计的4x50W车用音频功率放大器
雨雪传感器有开关量信号,有485输出信号吗?
中兴通讯全力支持中国电信构建精品通信网络
西门子推出以嵌入式工控机为基础的边缘应用硬件平台
什么是振荡裕量?振荡裕量的计算方法介绍
小蚁智能摄像机室外版评测 不管是室内还是室外都能做到不错的监控效果
STRADVISION“3D感知网络”,引领ADAS领域革命浪潮