Juniper SSG系列防火墙ScreenOS的IPsec VPN

自己之前的手记,

Route-Based Site-to-Site VPN, AutoKey IKE

2端都是固定IP的

BO1是分公司1,HO是总公司

BO1

# 定义隧道
set interface "tunnel.1" zone "Untrust"
# 端口自己看着办
set interface tunnel.1 ip unnumbered interface ethernetXX/XX
# 定义IP组及IP
set address "Untrust" "HO" XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
set group address "Untrust" "HOG"
set group address "Untrust" "HOG" add "HO"
# 定义VPN,填对端的固定IP地址
set ike gateway TO_HO address XXX.XXX.XXX.XXX main outgoing-interface ethernetXX preshare XXXXX proposal pre-g2-3des-sha
set vpn BO1_HO gateway TO_HO sec-level compatible
set vpn BO1_HO bind interface tunnel.1
set vpn BO1_HO monitor optimized
# 定义路由
set vrouter trust-vr route XXX.XXX.XXX.XXX/XX interface tunnel.1
# 定义policy
set policy top name "TO_HO" from trust to untrust Any HOG any permit
set policy top name "FROM_HO" from untrust to trust HOG Any any permit
# 保存
save

HO

set interface "tunnel.1" zone "Untrust"
set interface tunnel.1 ip unnumbered interface ethernetXX/XX
# 总公司多了控制Trust的,所以也定义组了
set address "Trust" "Trust_LAN" XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
set address "Untrust" "BO1" XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
set group address "Untrust" "BO1G"
set group address "Untrust" "BO1G" add "BO1"
set ike gateway TO_BO1 address XXX.XXX.XXX.XXX main outgoing-interface ethernetXX preshare XXXXX proposal pre-g2-3des-sha
set vpn HO_BO1 gateway TO_BO1 sec-level compatible
set vpn HO_BO1 bind interface tunnel.1
set vpn HO_BO1 monitor optimized
set vrouter trust-vr route XXX.XXX.XXX.XXX/XX interface tunnel.1
set policy top name "TO_BO1" from trust to untrust "Trust_LAN" "BO1G" any permit
set policy top name "FROM_BO1" from untrust to trust "BO1G" "Trust_LAN" any permit
save
时间: 2024-10-15 11:29:49

Juniper SSG系列防火墙ScreenOS的IPsec VPN的相关文章

JUNIPER SRX系列防火墙(JUNOS12.1)HA配置说明

Chassis Cluster概述和简介: Juniper SRX系列防火墙可以通过一组相同型号的SRX系列防火墙来提供网络节点的冗余性.每一台设备必须要有相同的junos版本,每一台节点设备通过各自的 control ports相互连接来形成Chassis Cluster的控制平面,控制平面通过juniper转有的协议来同步两条节点设备之间的配置和内核状态信息,从而提供基于接口和服务的高可用性.同时,每一台节点设备通过各自的 fabric ports 接口彼此互联,用于同步彼此的回话状态和两台

查看Juniper SRX系列防火墙的系统相关限制(Policy策略最大数、NAT最大数等)

通过show log nsd_chk_only | no-more 可查看Juniper SRX系列防火墙的系统相关限制.比如说Policy策略最大数.策略调用Address地址簿最大数.策略调用Applications应用最大数.NAT最大数.Zone区域最大数等相关信息. 以下为Juniper SRX5600输出结果 SRX5600> show log nsd_chk_only | no-more Matching platform :Model Name = srx5600Hardware

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的

飞塔 (Fortinet) 防火墙配置-IPsec VPN (固定宽带-拨号宽带)

简介 VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网. IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务. 很多企业有类似这种的

Juniper srx系列防火墙端口限速

限制上传速度(应用到内网接口)set firewall family inet filter upload-limit term 0 from source-address 192.168.0.16/32set firewall family inet filter upload-limit term 0 then policer upload-1mbset firewall family inet filter upload-limit term 0 then acceptset firewa

juniper防火墙基于路由的IPsec VPN配置

一.环境说明 北京公司需要和上海分公司建立安全通信的VPN,便于北京总公司与上海分公司资源共享安全. 需建立两条子网通道规划地址如下: 北京总公司地址规划: 外网接口地址:218.23.23.23/24 内部VLAN地址:10.0.0.0/24  10.0.1.0/24 上海分公司地址规划: 外网接口地址:218.241.241.23/24 内部VLAN地址:172.173.0.0/24  172.173.3.0/24 二.开始配置IPsec VPN 北京总公司配置: 配置外网接口地址为非信任区

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息 二.创建vpn第二阶段配置信息 说明:好像vpn两端配置的源地

Cisco 3640系列IPsec VPN简单配置

Cisco 3640系列IPsec VPN简单配置 实验拓扑图: 实验步骤: 第一步:配置路由 第二步:匹配的数据包流量(ACL,注意两端要对称) 第三步:IKE的第一阶段(称为 ISAKMP SA) 第四步:IKE的第二阶段(称为IPSEC SA) 第五步:MAP(第二.三.四步的结合) 第六步:应用配置到外网口 模拟Internet步骤如下: 1.路由配置 R1: Router>en Router#conft Enterconfiguration commands, one per line

ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥 isakmp policy 5 encryption des            //配置isakmp 策略的加密算法 i