RM新时代APP官网网址,新时代RM|登录网址

Juniper 所有系列防火墻（除部分早期型號外）都支持 IPSec VPN，其配置方式有多種，包括：基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在這里，我們主要介紹最常用的 VPN 模式：基于策略的 VPN。

站點間（Site-to-Site）的 VPN 是 IPSec VPN 的典型應(yīng)用，這里我們介紹兩種站點間基于策略 VPN 的實現(xiàn)方式：站點兩端都具備靜態(tài)公網(wǎng) IP 地址；站點兩端其中一端具備靜態(tài)公網(wǎng)IP 地址，另一端動態(tài)公網(wǎng) IP 地址。

一、站點間IPSec VPN配置：staic ip-to-staic ip

當創(chuàng)建站點兩端都具備靜態(tài) IP 的 VPN 應(yīng)用中，位于兩端的防火墻上的 VPN 配置基本相同，不同之處是在 VPN gateway部分的 VPN 網(wǎng)關(guān)指向 IP 不同，其它部分相同。

VPN 組網(wǎng)拓撲圖：

staic ip-to-staic ip

1.1 使用Web瀏覽器方式配置

① 登錄防火墻設(shè)備，配置防火墻為三層部署模式；

② 定義VPN 第一階段的相關(guān)配置：VPNs=>Autokey Adwanced=>Gateway配置VPN gateway部分，定義VPN 網(wǎng)關(guān)名稱、定義“對端 VPN 設(shè)備的公網(wǎng)IP 地址”為本地 VPN 設(shè)備的網(wǎng)關(guān)地址、定義預(yù)共享密鑰、選擇發(fā)起 VPN 服務(wù)的物理端口；

③ 在 VPN gateway的高級（Advanced）部分，定義相關(guān)的 VPN 隧道協(xié)商的加密算法、選擇 VPN 的發(fā)起模式；

④ 配置 VPN 第一階段完成顯示列表如下圖；

⑤ 定義 VPN 第二階段的相關(guān)配置：VPNs=>Autokey IKE在 Autokey IKE 部分，選擇第一階段的 VPN 配置；

⑥ 在 VPN 第二階段高級（Advances）部分，選擇 VPN 的加密算法；

⑦ 配置 VPN 第二階段完成顯示列表如下圖；

⑧ 定義 VPN 策略，選擇地址和服務(wù)信息，策略動作選擇為：隧道模式；VPN 隧道選擇為：剛剛定義的隧道，選擇自動設(shè)置為雙向策略；

1.2 使用命令行方式配置

CLI ( 東京)

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義路由

setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway1.1.1.250

③ 定義地址

setaddresstrustTrust_LAN10.1.1.0/24
setaddressuntrustparis_office10.2.2.0/24

④ 定義IPSec VPN

setikegatewayto_parisaddress2.2.2.2mainoutgoing-interfaceethernet3preshare
h1p8A24nG5proposalpre-g2-3des-sha
setvpntokyo_parisgatewayto_parissec-levelcompatible

⑤ 定義策略

setpolicytopname"To/FromParis"fromtrusttountrustTrust_LANparis_office
anytunnelvpntokyo_paris
setpolicytopname"To/FromParis"fromuntrusttotrustparis_officeTrust_LAN
anytunnelvpntokyo_paris
save

CLI ( 巴黎)

① 定義接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.2.2.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip2.2.2.2/24

② 定義路由

setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway2.2.2.250

③ 定義地址

setaddresstrustTrust_LAN10.2.2.0/24
setaddressuntrusttokyo_office10.1.1.0/24

④ 定義IPSec VPN

setikegatewayto_tokyoaddress1.1.1.1mainoutgoing-interfaceethernet3preshare
h1p8A24nG5proposalpre-g2-3des-sha
setvpnparis_tokyogatewayto_tokyosec-levelcompatible

⑤ 定義策略

setpolicytopname"To/FromTokyo"fromtrusttountrustTrust_LANtokyo_office
anytunnelvpnparis_tokyo
setpolicytopname"To/FromTokyo"fromuntrusttotrusttokyo_officeTrust_LAN
anytunnelvpnparis_tokyo
save

二、站點間IPSec VPN配置：staic ip-to-dy namic ip

在站點間 IPSec VPN 應(yīng)用中，有一種特殊的應(yīng)用，即在站點兩端的設(shè)備中，一端擁有靜態(tài)的公網(wǎng) IP 地址，而另外一端只有動態(tài)的公網(wǎng) IP 地址，以下講述的案例是在這種情況下，Juniper 防火墻如何建立 IPSec VPN 隧道。

基本原則：在這種 IPSec VPN 組網(wǎng)應(yīng)用中，擁有靜態(tài)公網(wǎng) IP 地址的一端作為被訪問端出現(xiàn)，擁有動態(tài)公網(wǎng) IP 地址的一端作為 VPN 隧道協(xié)商的發(fā)起端。

和站點兩端都具備靜態(tài) IP 地址的配置的不同之處在于 VPN 第一階段的相關(guān)配置，在主動發(fā)起端（只有動態(tài)公網(wǎng) IP 地址一端）需要指定 VPN 網(wǎng)關(guān)地址，需配置一個本地 ID，配置 VPN發(fā)起模式為：主動模式；在站點另外一端（擁有靜態(tài)公網(wǎng) IP 地址一端）需要指定 VPN 網(wǎng)關(guān)地址為對端設(shè)備的 ID 信息，不需要配置本地 ID，其它部分相同。

IPSec VPN 組網(wǎng)拓撲圖： staic ip-to-dynamic ip

2.1 使用Web瀏覽器方式配置

① VPN 第一階段的配置：動態(tài)公網(wǎng) IP 地址端。

VPN 的發(fā)起必須由本端開始，動態(tài)地址端可以確定對端防火墻的 IP 地址，因此在 VPN階段一的配置中，需指定對端 VPN 設(shè)備的靜態(tài) IP 地址。同時，在本端設(shè)置一個 LocalID，提供給對端作為識別信息使用。

② VPN 第一階段的高級配置：動態(tài)公網(wǎng) IP 地址端。

在 VPN 階段一的高級配置中動態(tài)公網(wǎng) IP 一端的 VPN 的發(fā)起模式應(yīng)該配置為：主動模式（ Aggressive ）

③ VPN 第一階段的配置：靜態(tài)公網(wǎng)IP 地址端。

在擁有靜態(tài)公網(wǎng)IP 地址的防火墻一端，在VPN 階段一的配置中，需要按照如下圖所示的配置： “Remote Gateway Type”應(yīng)該選擇“Dynamic IP Address”，同時設(shè)置Peer ID（和在動態(tài)IP 地址一端設(shè)置的Local ID 相同）。

④ VPN 第二階段配置，和在”static ip-to-static ip”模式下相同。

⑤ VPN 的訪問控制策略，和在”static ip-to-static ip”模式下相同。

2.2 使用命令行方式配置

CLI ( 設(shè)備-A)

① 定義接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3dhcpclient
setinterfaceethernet3dhcpclientsettingsserver1.1.1.5

② 定義路由

setvroutertrust-vrroute0.0.0.0/0interfaceethernet3

③ 定義用戶

setuserpmasonpasswordNd4syst4

④ 定義地址

setaddresstrust"trustednetwork"10.1.1.0/24
setaddressuntrust"mailserver"3.3.3.5/32

⑤ 定義服務(wù)

setserviceidentprotocoltcpsrc-port0-65535dst-port113-113
setgroupserviceremote_mail
setgroupserviceremote_mailaddhttp
setgroupserviceremote_mailaddftp
setgroupserviceremote_mailaddtelnet
setgroupserviceremote_mailaddident
setgroupserviceremote_mailaddmail
setgroupserviceremote_mailaddpop3

⑥ 定義VPN

setikegatewayto_mailaddress2.2.2.2aggressivelocal-idpmason@abc.com
outgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-sha
setvpnbranch_corpgatewayto_mailsec-levelcompatible

⑦ 定義策略

setpolicytopfromtrusttountrust"trustednetwork""mailserver"remote_mail
tunnelvpnbranch_corpauthserverLocaluserpmason
setpolicytopfromuntrusttotrust"mailserver""trustednetwork"remote_mail
tunnelvpnbranch_corp
save

CLI ( 設(shè)備-B)

① 定義接口參數(shù)

setinterfaceethernet2zonedmz
setinterfaceethernet2ip3.3.3.3/24
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip2.2.2.2/24

② 路由

setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway2.2.2.250

③ 定義地址

setaddressdmz"mailserver"3.3.3.5/32
setaddressuntrust"branchoffice"10.1.1.0/24

④ 定義服務(wù)

setserviceidentprotocoltcpsrc-port0-65535dst-port113-113
setgroupserviceremote_mail
setgroupserviceremote_mailaddident
setgroupserviceremote_mailaddmail
setgroupserviceremote_mailaddpop3

⑤ 定義VPN

setikegatewayto_branchdynamicpmason@abc.comaggressive
outgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-sha
setvpncorp_branchgatewayto_branchtunnelsec-levelcompatible

⑥ 定義策略

setpolicytopfromdmztountrust"mailserver""branchoffice"remote_mail
tunnelvpncorp_branch
setpolicytopfromuntrusttodmz"branchoffice""mailserver"remote_mail
tunnelvpncorp_branch
save

審核編輯：湯梓紅

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

網(wǎng)關(guān)

網(wǎng)關(guān)

+關(guān)注

關(guān)注
9

文章
4444

瀏覽量
51056
防火墻

防火墻

+關(guān)注

關(guān)注
0

文章
417

瀏覽量
35608
VPN

VPN

+關(guān)注

關(guān)注
4

文章
291

瀏覽量
29701
Juniper

Juniper

+關(guān)注

關(guān)注
1

文章
17

瀏覽量
11567
IPSec

IPSec

+關(guān)注

關(guān)注
0

文章
59

瀏覽量
22808

原文標題：Juniper防火墻系列-04-Juniper防火墻IPSec VPN的配置

文章出處：【微信號：網(wǎng)絡(luò)技術(shù)干貨圈，微信公眾號：網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

InRouter與Juniper SRX如何建立IPSec隧道配置？

公網(wǎng)IP，防火墻WAN接口（Unturst接口）接入互聯(lián)網(wǎng)，LAN（Trust接口為企業(yè)內(nèi)網(wǎng)）。LTE 4G 無線路由器與Juniper SRX防火墻建立IPSec

發(fā)表于 07-25 07:32

深信服防火墻和IR700建立IPSec VPN的配置說明

深信服防火墻和IR700建立IPSec VPN 配置說明本文檔針對深信服防火墻 的常規(guī)使用以及與無線路由器InRouter配合使用時（主要是

發(fā)表于 07-26 07:43

IR700與SSG5防火墻如何建立VPN模板？

參數(shù) 本地標識：inhand@inhand.com對端標識：zhongxin@inhand.com共享密鑰是1234563 無線路由器建立IPSec vpn的成功標識 4 無線路由器建立VPN成功之后，能夠ping同

發(fā)表于 07-26 08:12

IPSecVPN + PPTP VPN Demo搭建配置說明

219.232.192.xxx防火墻自動將數(shù)據(jù)轉(zhuǎn)發(fā)到CiscoRV042； 3、 CiscoRV042 為VPN 路由器，WAN （Internet）接口為 192.168.100.36，LAN接口為172.16.0.0/24

發(fā)表于 07-26 06:01

[原創(chuàng)]OEM防火墻、OEM SSL VPN、OEM流量控制設(shè)備

OEM防火墻、OEM SSL VPN、OEM流量控制設(shè)備 OEM 業(yè)務(wù)對象：正在尋求新業(yè)務(wù)，對網(wǎng)絡(luò)安全領(lǐng)域看好有意進入的廠商；在自身主營業(yè)務(wù)中對網(wǎng)絡(luò)安全有大量需求的系統(tǒng)集成

發(fā)表于 12-02 10:58

發(fā)現(xiàn) STM32 防火墻的安全配置

里提供了幾個不同的防火墻配置。那么問題來了，什么是STM32防火墻的應(yīng)該使用的安全配置呢？本文以STM32參考手冊為基礎(chǔ)，以最大化安全為目標，來探索發(fā)現(xiàn)STM32

發(fā)表于 07-27 11:04

基于防火墻鉤子的IPSec VPN研究與實現(xiàn)

針對采用網(wǎng)絡(luò)驅(qū)動接口規(guī)范(NDIS)實現(xiàn)IPSec VPN 系統(tǒng)過程中存在的問題，提出一種基于防火墻鉤子的IPSec VPN 系統(tǒng)，研究了W

發(fā)表于 03-24 08:53 ?23次下載

防火墻技術(shù)

防火墻技術(shù).ppt 防火墻及相關(guān)概念包過濾型防火墻代理服務(wù)型防火墻 防火墻的配置分布

發(fā)表于 06-16 23:41 ?0次下載

防火墻的配置

實驗十三、防火墻的配置一. 實驗原理1.1 防火墻原理網(wǎng)絡(luò)的主要功能是向其他通信實體提供信息傳輸服務(wù)。網(wǎng)絡(luò)安全技術(shù)的主

發(fā)表于 09-24 13:55 ?2154次閱讀

<b class='flag-5'>防火墻</b>的<b class='flag-5'>配置</b>

防火墻的VPN支持

防火墻的VPN支持 VPN的英文全

發(fā)表于 01-08 10:30 ?844次閱讀

如何配置Cisco PIX防火墻

如何配置Cisco PIX防火墻在配置PIX防火墻之前，先來介紹一下防火墻的物理特性。防火墻

發(fā)表于 01-13 13:26 ?584次閱讀

對Juniper防火墻進行配置和管理

Juniper防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備，可以支持各種復雜網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全應(yīng)用需求；

發(fā)表于 03-30 10:33 ?3354次閱讀

Juniper防火墻幾種常用功能的配置

這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實現(xiàn)，包括：MIP、VIP和DIP，這三種常用功能主要應(yīng)用于防火墻所保護服務(wù)器提供對外服務(wù)。

發(fā)表于 04-03 10:52 ?3106次閱讀

東用科技與華為防火墻構(gòu)建IPSec VPN配置指導手冊

IPSecVPN組網(wǎng)拓撲:華為防火墻端配置指導(此處以多數(shù)客戶使用專線上網(wǎng)形式為例)將專網(wǎng)網(wǎng)線插入防火墻1接口。使用網(wǎng)線連接PC與0接口，登錄防火墻

發(fā)表于 03-24 11:23 ?1148次閱讀

Juniper防火墻配置NAT映射的問題分析

記錄一下Juniper SSG或者ISG 系列防火墻上配置一對多NAT映射 VIP（Viritual Internet Protocol）時碰到的一個特殊的問題，就是在內(nèi)部服務(wù)器ICMP報文被阻斷

發(fā)表于 10-29 09:55 ?302次閱讀

RM新时代网站-首页

搜索歷史

Juniper防火墻IPSec VPN的配置

評論

InRouter與Juniper SRX如何建立IPSec隧道配置？

深信服防火墻和IR700建立IPSec VPN的配置說明

IR700與SSG5防火墻如何建立VPN模板？

IPSecVPN + PPTP VPN Demo搭建配置說明

[原創(chuàng)]OEM防火墻、OEM SSL VPN、OEM流量控制設(shè)備

發(fā)現(xiàn) STM32 防火墻的安全配置

基于防火墻鉤子的IPSec VPN研究與實現(xiàn)

防火墻技術(shù)

防火墻的配置

防火墻的VPN支持

如何配置Cisco PIX防火墻

對Juniper防火墻進行配置和管理

Juniper防火墻幾種常用功能的配置

東用科技與華為防火墻構(gòu)建IPSec VPN配置指導手冊

Juniper防火墻配置NAT映射的問題分析