Juniper
防火?/p>
IPsec VPN
配置(基于路?/p>
&
基于策略?/p>
VPN
配置?/p>
Juniper
所有防火墙都支?/p>
IPsec VPN
,配置方式有多种:基于策略的
VPN
、基于路由(?/p>
口)
VPN
、集中星?/p>
VPN
和背靠背
VPN
等?/p>
A.
基于策略?/p>
IPsec VPN
:通过防火墙策略将数据丢进
VPN
隧道
B.
基于路由?/p>
IPsec VPN:
?/p>
Firewall
上建立虚拟接?/p>
tunnel
接口,设置到对端的数据丢进这
?/p>
tunne
接口中,再有
IPsec VPN
进行加密?/p>
区别?/p>
基于策略?/p>
IPsce VPN
可以再网关部署和透明部署的防火墙上建立,
基于策略?/p>
IPsec VPN
建立后,?/p>
VPN
隧道中只能传单播数据?/p>
基于接口?/p>
IPsec VPN
只能在网关模式下部署?/p>
但不可在透明模式下部署,
优点?/p>
基于?/p>
由的
IPsec VPN
可在
VPN
隧道中传组播应用,类似于
cisco
?/p>
GRE OVER IPsec VPN.
1.
基于策略?/p>
VPN
站点间(
Site-to-Site
)的
VPN
?/p>
IPsec VPN
的典型应用?/p>
1.1
站点两端具备静态公?/p>
IP
?/p>
static ip-to-static ip
?/p>
?/p>
当创建站点两端都是静?/p>
IP
?/p>
VPN
应用中,
位于两端的防火墙上的
VPN
配置基本相同?/p>
不同之处是在
VPN gateway
?/p>
vpn
网关指向
IP
不同?/p>
其他相同
(
以上海昱?/p>
to
无锡佳城为例
)
?/p>
VPN
组网拓扑图:
static ip-to-static ip
使用
web
方式配置?/p>
登陆防火墙,配置防火墙为三层部署模式?/p>
配置
VPN Gateway:VPNS
?/p>
AutoKey Advanced
?/p>
Gateway
2.1
)定?/p>
VPN
网关名称、定义“对?/p>
VPN
设备公网
IP
”为本地
VPN
设备的网关地址
:
VPN
网关名称?/p>
to_wx_tunnel
对端
VPN
设备公网
IP
?/p>
58.215.5.42
2.2
)在
VPN Gateway
的高级(
Advanced
)部分,定义预共享密钥、定义相关的
VPN
?/p>
道协商加密算法、选择
VPN
的发起模?/p>
共享密钥
(Preshared Key)
?/p>
renesola
安全等级
(Security Level)
?/p>
User Defined
?/p>
Custom
?/p>
Phase 1 Proposal
→根据需要进行选择
(设备两端安全级别需相同?/p>
发起模式?/p>
main
其他设置采用默认配置
说明?/p>
?/p>
Preshared Key
这是预设共享密钥,非常重要,
VPN
建立时验证使用的,两端要保持一?/p>
?/p>
local ID
这是用在有一端是动?/p>
IP
?/p>
也就是给动?/p>
IP
的一端起个名字,
这样
IP
地址变了?/p>
以根?/p>
local ID
来识别动?/p>
IP
端得防火墙设备。要与远端防火墙?/p>
peer id
保持一致?/p>
?/p>
Outgoing Interface
这是指定出口的接口,一般来说是
Untrust
接口,新建模式可以选择?/p>
口?/p>
?/p>
Security Level
安全等级可以自定义,前提是两边防火墙选择的加密方式要一致?/p>
?/p>
Mode (Initiator)
连接模式
Aggressive
(野蛮模式)
,这个模式建?/p>
VPN
连接的速度比较快?/p>
3)
配置
VPN
?/p>
AutoKey IKE
?/p>
3.1)
定义
VPN name
?/p>
Remote Gateway
VPN Name
?/p>
to_wx_vpn