内容发布更新时间 : 2024/6/16 11:10:39星期一 下面是文章的全部内容请认真阅读。
Juniper防火墙IPsec VPN 配置(基于路由&基于策略的VPN配置)
Juniper所有防火墙都支持IPsec VPN,配置方式有多种:基于策略的VPN、基于路由(接口)VPN、集中星形VPN和背靠背VPN等。
A.基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道
B.基于路由的IPsec VPN: 在Firewall上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec VPN进行加密。 区别:
基于策略的IPsce VPN可以再网关部署和透明部署的防火墙上建立,基于策略的IPsec VPN建立后,在VPN隧道中只能传单播数据;
基于接口的IPsec VPN只能在网关模式下部署,但不可在透明模式下部署,优点:基于路由的IPsec VPN可在VPN隧道中传组播应用,类似于cisco的GRE OVER IPsec VPN. 1.基于策略的VPN
站点间(Site-to-Site)的VPN是IPsec VPN的典型应用。 1.1站点两端具备静态公网IP(static ip-to-static ip): 当创建站点两端都是静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway中vpn网关指向IP不同,其他相同(以上海昱辉to无锡佳城为例)。 VPN组网拓扑图:static ip-to-static ip 使用web方式配置:
登陆防火墙,配置防火墙为三层部署模式:
配置VPN Gateway:VPNS→AutoKey Advanced→Gateway
2.1)定义VPN网关名称、定义“对端VPN设备公网IP”为本地VPN设备的网关地址: VPN网关名称:to_wx_tunnel
对端VPN设备公网IP:58.215.5.42
2.2)在VPN Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的VPN隧道协商加密算法、选择VPN的发起模式 共享密钥(Preshared Key):renesola 安全等级(Security Level):User Defined→Custom→Phase 1 Proposal→根据需要进行选择(设备两端安全级别需相同) 发起模式:main
其他设置采用默认配置 说明:
①Preshared Key 这是预设共享密钥,非常重要,VPN建立时验证使用的,两端要保持一致 ②local ID 这是用在有一端是动态IP,也就是给动态IP的一端起个名字,这样IP地址变了可以根据local ID来识别动态IP端得防火墙设备。要与远端防火墙的peer id保持一致。
③Outgoing Interface 这是指定出口的接口,一般来说是Untrust接口,新建模式可以选择接口。
④Security Level 安全等级可以自定义,前提是两边防火墙选择的加密方式要一致。 ⑤Mode (Initiator) 连接模式 Aggressive (野蛮模式),这个模式建立VPN连接的速度比较快。 3) 配置VPN的AutoKey IKE:
3.1)定义VPN name、Remote Gateway VPN Name:to_wx_vpn
Remote Gateway:选择前面设置的vpn网关名称,Predefined→to_wxtunnel
3.2)在AutoKey IKE的高级(Advanced)部分定义了VPN的加密算法(Security Level) SencurityLevel:User Defined→Custom→Phase 2 Proposal→根据需要选择(两端设备保持一致)
4)建立VPN Policy
设置一条策略允许VPN建立连接访问:
在policy界面下选择从Untrust到 Trust建立一条心策略
说明:
Source Address 源地址为远端内网网段 Destination Address 目的地址为本地网段 Action 选择 Tunnel,也就是走VPN隧道 Tunnel 选择你建立的IKE
Modify matching bidirectional VPN policy 打上钩,就是同时建立一条反向策略,允许VPN两端互访。
5)建立发起IPsec VPN连接及查看状态
IPsec VPN的一端已经设置好了,再在对端做相同的设置。VPN的建立需要有数据通信才会建立,如果两边都是固定IP,ping一下对端的内网网关,如果一端是动态IP的话就必须从动态IP端发起连接才能顺利建立IPsec VPN的连接。 在 VPNs > Monitor Status 界面下可以看到VPN的状态:
1.2 站点两端其中一端具备静态公网IP,另一端动态公网IP:staicip-to-dynamic ip
在这种IPsec VPN组网应用中,拥有静态公网IP地址的一段作为被访问端出现,拥有动态公网IP地址的一段作为VPN隧道协商的发起端。和站点两端都具备静态IP地址的配置不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公
网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式:主动模式;在站点另外一段(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其他部分相同。 1.2.1 web方式配置 VPN第一阶段的配置:
动态公网IP地址端:VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN阶段一的配置中,需指定对端VPN设备的静态IP地址。同时,在本端设置一个Local ID,提供给对端作为识别信息使用。 VPN第一阶段的高级配置: 动态公网IP地址端:在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动模式(Aggressive) VPN第一阶段的配置:
静态公网IP地址端:在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要配置:“Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置 Peer ID(和在动态IP地址一端设置的Local ID相同)。
4) VPN第二阶段配置,和在”static ip-to-static ip”模式下相同。 5) VPN的访问控制策略,和在”static ip-to-static ip”模式下相同。 1.2.2 命令行方式配置 CLI ( 设备-A)
①定义接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5 ②定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 ③定义用户
set user pmason password Nd4syst4
④定义地址
set address trust \set address untrust \ ⑤定义服务
set service ident protocol tcpsrc-port 0-65535 dst-port 113-113 set group service remote_mail
set group service remote_mail add http set group service remote_mail add ftp set group service remote_mail add telnet set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3 ⑥定义VPN
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpnbranch_corp gateway to_mail sec-level compatible
⑦定义策略
set policy top from trust to untrust \tunnel vpnbranch_corpauth server Local user pmason
set policy top from untrust to trust \tunnel vpnbranch_corp save
CLI ( 设备-B)
①定义接口参数
set interface ethernet2 zone dmz set interface ethernet2 ip 3.3.3.3/24 set interface ethernet3 zone untrust