Juniper SRX 与 SSG防火墙基于路由VPN.docx
《Juniper SRX 与 SSG防火墙基于路由VPN.docx》由会员分享,可在线阅读,更多相关《Juniper SRX 与 SSG防火墙基于路由VPN.docx(15页珍藏版)》请在冰豆网上搜索。
JuniperSRX与SSG防火墙基于路由VPN
JuniperSRX与SSG防火墙基于路由VPN
实验用的是一台JuniperSRX100H的小防火墙和一台SSG550的防火墙。
配置SRX之前,删除了所有的SRX的初厂设置。
在配置模式下用delete.可删除所有的配置。
1.基本配置:
(接口、IP、Zone划分、路由)
SRX基本配置:
配置一个security-zoneUNTRUST并把fe-0/0/0.0放入这个zone.并且允许其他外网地址ping这个端口,允许ping只是单纯了为测试。
root#editsecurityzonessecurity-zoneUNTRUST
root#setinterfacesfe-0/0/0.0host-inbound-trafficsystem-servicesping
root#setsecurityzonessecurity-zoneUNTRUSTinterfacesfe-0/0/0.0host -inbound-trafficsystem-servicesike(这一个很重要,因为默认SRX在出接口上并没有放行ike的包,但是这次实验中,没有打上这条命令,VPN也正常工作了。
在这里还请注意。
)
配置fe-0/0/0unit0端口IP,做出接口,连接外网。
命令如下:
配置一个security-zoneTRUST
并把
fe-0/0/7.0放入这个zone.允许所有的system-services。
root#editsecurityzonessecurity-zone
root#setinterfacesfe-0/0/7.0host-inbound-trafficsystem-servicesall
配置fe-0/0/7unit0端口IP,做为内网接口。
新建一个st0.0接口,并设置IP为10.11.11.10/30;并将这个接口划入一个新建的Zone:
VPN-ZONE-Site1.root#setinterfacesst0unit0familyinetaddress10.11.11.10/30
root#setsecurityzonessecurity-zoneVPN-ZONE-Site1interfacesst0.0
配置路由:
配置一条默认路由和一条目地为对方的私网IP、下一跳为对方的tunnel口的IP的静态路由。
root#setrouting-optionsstaticroute0.0.0.0/0next-hop222.XXX.XXX.XXX(默认路由)
root#setrouting-optionsstaticroute
192.168.199.0/24next-hop10.11.11.11(到Site2内网的路由)
配置地址薄:
root#setsecurityzonessecurity-zoneTRUST
address-bookaddressSITE1-BOOK172.20.200.0/24root#setsecurityzonessecurity-zoneVPN-ZONE-
Site1address-bookaddressSITE2-BOOK192.168.199.0/24(可选配置)配置使SRX成为DHCPServer,为内网客户端分发IP。
root#editsystemservicesdhcppool172.20.200.0/24(配置地址池名称,必须以子网形式命令)
root#setaddress-rangelow172.20.200.100high172.20.200.200(IP分发范围)
root#setrouter172.20.200.254(分配的网关)
root#setname-server61.177.7.1(DNSIP)
2.配置IKE第一阶段,分三步,第一步是配置IKEproposal;第二阶段是IKEpolicy;第三步是IKEgateway。
第一步:
root#editsecurityikeproposalIKE-PHASE1-PROPOSAL(IKE-PHASE1-PROSOAL为自定义的名称)
root#setauthentication-methodpre-shared-keys(认证方式采用预共享密钥方式)
root#setauthentication-algorithmsha1(认证算法为hash1)
root#setdh-groupgroup2(DH组2)
root#setencryption-algorithm3des-cbc(加密算法3des)
第二步:
root#editsecurityikepolicyIKE-PHASE1-POLICY(IKE-PHASE1-POLICY为自定义policy名称)
root#setpre-shared-keyascii-text123456789(预共享密钥123456789,两端必须一致)
root#setproposalsIKE-PHASE1-PROPOSAL(引用第一步的Proposal)
root#setmodemain(配置为主模式main,另外还有一个被动模式aggressive,被动模式只有当你的VPN设备出接口为一个私有IP的时候需要再进行一次nat的时候才配置为此模式,比如远程拔号VPN,)
第三步配置IKEGateway
root#editsecurityikegatewayIKE-PHASE1-GATEWAY(定义ikegateway名称IKE-PHASE1-GATEWAY)
root#setike-policyIKE-PHASE1-POLICY(引用上面第二步的IKEPOLICY)
root#setaddress116.xxx.xxx.xxx(对端的即Site2出接口的IP)
root#setexternal-interfacefe-0/0/0.0(绑定到外网接口fe-0/0/0.0)
(可选配置DPD)
整个IKE第一阶段配置如下:
3.配置IKE第二阶段,也是分三步配置;第一步配置IPSEC
PROPOSAL,第二步配置IPSECPOLICY,第三步配置IPSECVPN。
第一步:
root#editsecurityipsecproposalIPSEC-PHASE2-PROPOSAL(定义名称IPSEC-PHASE2-PROPOSAL)
root#setencryption-algorithm3des-cbc
root#setauthentication-algorithmhmac-sha1-96root#setprotocolesp(协议只有AH和ESP,ESP用的最多,AH基本不用,AH不能用于第一阶段的被动模式aggressive)第二步配置IPSECPOLICY:
root#editsecurityipsecpolicyIPSEC-PHASE2-POLICY(定义名称IPSEC-PHASE2-POLICY)
root#setproposalsIPSEC-PHASE2-PROPOSAL(引用第二阶段的第一步proposal)
root#setperfect-forward-secrecykeysgroup2(完美向前转发组2)
root#setikeproxy-identitylocal172.20.200.0/24root#setikeproxy-identityremote192.168.199.0/24root#setikeproxy-identityserviceany
(如果对端是非JUNIPER产品,则要加入这三条命令,VPN才能通起来,第一个是本地的IP段,第二个是对端IP段)
第三步配置IPSECVPN
root#editsecurityipsecvpnIPSEC-PHASE2-VPN(定义名称IPSEC-PHASE2-VPN)
root#setikegatewayIKE-PHASE1-GATEWAY(引用第一阶段的IKEGATEWAY)
root#setikeipsec-policyIPSEC-PHASE2-POLICY(引用第二阶段的IPSEC-POLICY)
root#setbind-interfacest0.0(绑定到tunnel接口)全部第二阶段配置如下:
4.配置策略(双向的):
先配置from-zoneTRUSTto-zoneVPN-ZONE-Site1
root#editsecuritypoliciesfrom-zoneTRUSTto-zoneVPN-ZONE-Site1
root#setpolicyVPN-Site1-Site2matchsource-addressSITE1-BOOK
root#setpolicyVPN-Site1-Site2matchdestination-addressSITE2-BOOK
root#setpolicyVPN-Site1-Site2matchapplicationany
root#setpolicyVPN-Site1-Site2thenpermit配置from-zoneVPN-ZONE-Site1to-zoneTRUST
root#editsecuritypoliciesfrom-zoneVPN-ZONE-Site1to-zoneTRUST
root#editpolicyVPN-Site2-Site1
root#setmatchsource-addressSITE2-BOOK
root#setmatchdestination-addressSITE1-BOOKroot#setmatchapplicationany
root#setthenpermit
全部策略配置如下:
至此,SRX上的配置已完成。
Site2的SSG防火墙配置如下:
1.新建一个ZONE,定义名称为:
VPN-ZONE,如下图
2.新建Tunnel.1端口
3.配置路由,设置到达Site1内网网段的路由的下一跳出口为Tunnel.1。
4.配置地址薄,新增一个地址薄属于VPN-ZONE,即Site1的内网地址段,如下:
新增一个本地端的地址薄,属于trustzone,如下图
5.配置VPN第一阶段,如下图
6.配置第二阶段
7.配置策略。
要做两条,一条fromtrusttoVPN-ZONE,一条fromVPN-ZONEtotrust
第一条fromtrusttoVPN-ZONE
第二条fromVPN-ZONEtotrust
策略配置完成如下:
以上Site2的SSG防火墙配置完成测试:
在Site2的一台主机上pingSite1防火墙的内网的一台主机IP172.20.200.100
是OK的
在Site1的防火墙上pingSite2防火墙的内网的一台主机
192.168.199.240
也是OK的,说明两边的VPN已经工作。
在SRX上查看第一阶段phase1的ikeSA
root>showsecurityikesecurity-associations(这条命令列出了所有在活动的phase1SA)
root>showsecurityikesecurity-associationsdetail(这条命令查看所有活动SA的详细信息)
看到SA的State是UP,
验证第二阶段phase2状态
命令:
root>showsecurityipsecsecurity-associations
root>showsecurityipsecstatistics(查看加解状态)