Juniper-SSG-策略模式的IPSEC-VPN之配置终结篇

Juniper-SSG,Site to Stie的ipsec-vpn在国内应用是非常广的,毕竟在07-10年算是国内防火墙中比较出彩又讨网工喜欢的系列。所以今天再次重新梳理一次IPSEC-VPN的web配置方法,温故而知新,可以为师矣。

为什么标题写的是,策略模式的VPN。对,ipsec-vpn也分路由模式和策略模式。

俩者有哪些不同的地方呢?其实这个和TCP/IP的理论挂钩了

俩者ipsec-vpn的实现原理过程解释:

①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道

②基于路由的IPsec VPN: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec VPN进行加密

俩者ipsec-vpn的区别:

①基于策略的IPsce VPN可以再网关部署和透明部署的防火墙上建立,基于策略的IPsecvpn建立后,在VPN隧道中仅能传输单播数据;

②基于接口的IPsec VPN只能在网关模式下施工部署,不可以在透明模式下部署,相对于策略模式IPsec vpn优点在于:基于路由IPsecvpn可在VPN隧道中传组播应用,拿资历老大的思科来讲,上海和深圳跑了GRE,但在这条隧道上跑的数据均是明文传输,无法得到加密。咋破了,比如:GRE over Ipsec VPN。

还有很多不同的地方,我这里就不一一列举了,偶尔,复习和回顾往往是最好的学习方法。前面的文章说过很多ipsec-vpn是干嘛的了,所以今天不再聊理论、应用场景和情怀了。直接上配置!!!

Stie to Stie的配置前提:俩端均是固定IP地址

第一步:Web-UI管理界面中配置VPNS→AutoKey Advanced→Gateway→New

第二步:定义VPN网关名称、定义“对端VPN设备公网IP”为本地VPN设备的网关地址,如下图所示:(IKE版本可选)

第三步:在VPN Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的VPN隧道协商加密算法、选择VPN的发起模式,DPD检测最好勾选,模式选择主模式 ,outgoing interface 选择公网出接口,如下图所示:

注释:

PreshareKey:俩边密钥一定要一致

Outgoinginterface:选择公网出接口

Securitylevel:任意指定对应算法参数,保证俩端一致即可

第四步:接着配置VPN的AutoKey IKE:VPNS→AutoKey IKE→New,如下图

第五步:设置VPN name、Remote Gateway,如下图所示

注释:

VPN Name:qujun-IKE-2

Remote Gateway: 选择前面设置的vpn网关名称,Predefined→qujun-testing

第六步:在AutoKey IKE的高级(Advanced)部分定义了VPN的加密算法(Security Level)

SencurityLevel:User Defined→Custom→Phase 2 Proposal→可以根据个人需要选择自定义(两端设备保持一致即可)如下图所示:

PS:记住勾选VPN-monitor

第七步:可选【如果同款型号或者同产商,这里无需添加proxyID】若跨产商,这里就填写,比如和前面介绍的hillstone对接时候。就需要此项的额外配置,否则隧道无法正常建立起来。

PS:注意本地和对端的zone选择。

另:

Hillstone侧代理ID在哪里配置?

第八步:建立VPN Policy,trust-untrust、untrust-trust双向策略新建对应兴趣流量,如下图所示

确认后输出如下:

Trust-Untrust

Untrust-trust

第九步:建立发起IPsec VPN连接及查看状态,IPsecVPN的一端已经设置好了,再在对端做相同的设置即可。比较“傻瓜”式的配置,不过相当考验一个人的认真和细致。我身边的小兄弟一直比较粗心“要么算法1看成了2、要么代理ID没配对、要么策略掩码敲错等等”。总之细心检查配置

第十步:VPN的建立需要有数据通信才会建立(这是SSG系列中比较不先进的机制,现在很多产商都优化过了,比如自动触发,长连接模式等等),如果两边都是固定IP,任意一端ping一下对端的内网网关,如果一端是动态IP的话就必须从动态IP端发起连接才能顺利建立IPsec VPN的连接。

第十一步:在 VPNs > Monitor Status 界面下可以看到VPN的状态,如下图展示:

到这里,配置过程就全部结束了,说个题外话,目前仍然有很大一部分客户、企业。不论是总部还是分支都使用SSG做IPSEC。可以看到目前很多网工都不是很喜欢一些国产产商把配置做的复杂等等。比如华三和华为,安全域多了个local。不放行根本没法玩。所以不断学习和提升自己的技术能力,往往决定了一个技术员到底有多大技术实力的根本。

时间: 2024-10-10 20:50:05

Juniper-SSG-策略模式的IPSEC-VPN之配置终结篇的相关文章

IPSEC VPN 的配置实例

詹柱美 一.实验拓扑: 二.实验要求: 保证两个站点的路由没问题. 在站点A与站点B间配置VPN,保障企业的网络通过互联网连接起来. 三.实验的配置: R1的全部配置: r1#show running-config Building configuration... Current configuration : 597 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug

Cisco 3640系列IPsec VPN简单配置

Cisco 3640系列IPsec VPN简单配置 实验拓扑图: 实验步骤: 第一步:配置路由 第二步:匹配的数据包流量(ACL,注意两端要对称) 第三步:IKE的第一阶段(称为 ISAKMP SA) 第四步:IKE的第二阶段(称为IPSEC SA) 第五步:MAP(第二.三.四步的结合) 第六步:应用配置到外网口 模拟Internet步骤如下: 1.路由配置 R1: Router>en Router#conft Enterconfiguration commands, one per line

山石网科-Hillstone-路由模式的IPSEC-VPN之配置终结篇

首先,当然第一件事情,是要理清思路了,这一点对一个工程师来讲是必须且非常重要的一步. 第一步,新建IPsec-Vpn. 第二步,配置第一阶段相关参数.(高级可选参数,DPD对端存活检测/NAT穿越都可以勾选上,这个不是协商参数) 第三步,配置第二阶段相关参数.注意(如果俩端都是山石设备,即可以不用配置代理ID,选择自动即可,若不是,请填写代理ID.PS:代理ID只是协商让IPsecUP的一项参数,并非定义感兴趣) 高级可选参数中,将自动连接.VPN隧道监测.VPN隧道状态通知勾选. 第四步,配置

juniper防火墙基于路由的IPsec VPN配置

一.环境说明 北京公司需要和上海分公司建立安全通信的VPN,便于北京总公司与上海分公司资源共享安全. 需建立两条子网通道规划地址如下: 北京总公司地址规划: 外网接口地址:218.23.23.23/24 内部VLAN地址:10.0.0.0/24  10.0.1.0/24 上海分公司地址规划: 外网接口地址:218.241.241.23/24 内部VLAN地址:172.173.0.0/24  172.173.3.0/24 二.开始配置IPsec VPN 北京总公司配置: 配置外网接口地址为非信任区

IPSec VPN经典配置

IPSec VPN配置命令 底层用静态路由连通 R2(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.10 R2(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10 //这条路由在现实环境中由默认路由代替,由于1111到2222的数据包被加密,Internet上不会出现去往2222的明文数据包. R2(config)#ip route 61.128.1.0 255.255.255.0 202.100.

Juniper-SSG-路由模式的IPSEC-VPN之配置终结篇

这周算是补了上周和上上周脱更的内容了,下周好好继续研究,大家一起学习!!成为一名优秀的网工. 之前的文章里面有介绍过basic-policy-vpn和routing-vpn的区别(SSG系列),同时也列举的basic-policy-vpn的配置思路和配置方法.今天呢算是做一个补充,介绍一下SSG基于tunnel接口的routing-vpn配置方法. 简单介绍下: 基于路由的IPsec VPN: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec VP

ip-sec VPN 基本配置实验

准备步骤: 1.给各路由器配置IP地址 2.R1 R3设置一条默认路由,R2只配IP地址,不做任何路由设置. R1: R1(config)#crypto isakmp enable     //开启ike阶段SA协商 R1(config)#crypto isakmp policy 10     //创建ike策略,10为序号,越小越优先. R1(config-isakmp)#authentication pre-share    //开启pre-share作为认证方式 R1(config-isa

ASA 5520(IOS version 8.4) IKEv2 IPSEC VPN实验配置

1.实验TOP图如下: 2.实验目的: 使用IKEv2实现点到点的IPSECVPN通信,即本示例中192.168.1.100和172.16.1.100之间实现VPN通信. 3.具体配置如下: ASA1配置 interfaceGigabitEthernet0 nameif outside security-level 0 ip address 11.1.1.2 255.255.255.0 ! interfaceGigabitEthernet1 nameif inside security-leve

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的