4、Juniper防火墙IPSec VPN的配置 Juniper所有系列防火墙都撑持IPSec VPN,
其配置方式有多种, 包罗:
基于规则的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等. 在这里,
我们关键介绍最常用的VPN模式: 基于规则的VPN. 站点间(Site-to-Site)的VPN是 IPSec
VPN的典型应用, 这里我们介绍两种站点间基于规则VPN的实现方式:
站点两端都具备静态公*IP地址;站点两端其中一端具备静态公*IP地址,
另一端动态公*IP地址. 4.1、站点间IPSec VPN配置: staic ip-to-staic ip
当创建站点两端都具备静态IP的VPN应用中, 位于两端的防火墙上的VPN配置根基一样,
差别之处是 在VPN gateway部分的VPN*关指向IP差别, 其它部分一样. VPN组*拓扑图:
staic ip-to-staic ip 4.1.1、使用Web浏览器方式配置 ① 登录防火墙设备,
配置防火墙为三层部署模式; ② 定义VPN第一阶段的相关配置: VPNs=>Autokey
Adwanced=>Gateway 配置VPN gateway部分,
定义VPN*关标题、定义“对端VPN设备的公*IP地址”
为本地VPN设备的*关地址、定义预共享密钥、挑选发起VPN服务的物理端口; ③
在VPN gateway的高级(Advanced)部分,
定义相关的VPN隧道协商的加密算法、挑选VPN的发起模式; ④ 配置VPN第一阶段完成
表现列 表如下图; ⑤ 定义VPN第二阶段的相关配置: VPNs=>Autokey IKE 在Autokey
IKE部分, 挑选第一阶段的VPN配置; ⑥ 在VPN第二阶段高级(Advances)部分,
挑选VPN的加密算法; ⑦ 配置VPN第二阶段完成 表现列 表如下图; ⑧ 定义VPN规则,
挑选地址和服务信息, 规则动作挑选为: 隧道模式;VPN隧道挑选为: 方才定义的隧道,
挑选是 否设置为双向规则; 4.1.2、使用号令行方式配置 CLI ( 东京 ① 配置接口指标 set
interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.124 set interface ethernet1 nat set
interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.124 ② 定义路由 set vrouter
trust-vr route 0.0.0.00 interface ethernet3 gateway 1.1.1.250 ③ 定义地址 set address trust
Trust_LAN 10.1.1.024 set address untrust paris_office 10.2.2.024 ④ 定义IPSec VPN set ike
gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5
proposal pre-g2-3des-sha set vpn tokyo_paris gateway to_paris sec-level compatible ⑤