Juniper SRX 与 SSG防火墙基于路由VPN.docx

Juniper SRX 与 SSG防火墙基于路由VPN.docx

《Juniper SRX 与 SSG防火墙基于路由VPN.docx》由会员分享，可在线阅读，更多相关《Juniper SRX 与 SSG防火墙基于路由VPN.docx（15页珍藏版）》请在冰豆网上搜索。

JuniperSRX与SSG防火墙基于路由VPN

JuniperSRX与SSG防火墙基于路由VPN

实验用的是一台JuniperSRX100H的小防火墙和一台SSG550的防火墙。

配置SRX之前，删除了所有的SRX的初厂设置。

在配置模式下用delete.可删除所有的配置。

1.基本配置：

（接口、IP、Zone划分、路由）

SRX基本配置：

配置一个security-zoneUNTRUST并把fe-0/0/0.0放入这个zone.并且允许其他外网地址ping这个端口，允许ping只是单纯了为测试。

root#editsecurityzonessecurity-zoneUNTRUST

root#setinterfacesfe-0/0/0.0host-inbound-trafficsystem-servicesping

root#setsecurityzonessecurity-zoneUNTRUSTinterfacesfe-0/0/0.0host -inbound-trafficsystem-servicesike（这一个很重要，因为默认SRX在出接口上并没有放行ike的包，但是这次实验中，没有打上这条命令，VPN也正常工作了。

在这里还请注意。

）

配置fe-0/0/0unit0端口IP，做出接口，连接外网。

命令如下：

配置一个security-zoneTRUST

并把

fe-0/0/7.0放入这个zone.允许所有的system-services。

root#editsecurityzonessecurity-zone

root#setinterfacesfe-0/0/7.0host-inbound-trafficsystem-servicesall

配置fe-0/0/7unit0端口IP，做为内网接口。

新建一个st0.0接口，并设置IP为10.11.11.10/30;并将这个接口划入一个新建的Zone:

VPN-ZONE-Site1.root#setinterfacesst0unit0familyinetaddress10.11.11.10/30

root#setsecurityzonessecurity-zoneVPN-ZONE-Site1interfacesst0.0

配置路由：

配置一条默认路由和一条目地为对方的私网IP、下一跳为对方的tunnel口的IP的静态路由。

root#setrouting-optionsstaticroute0.0.0.0/0next-hop222.XXX.XXX.XXX（默认路由）

root#setrouting-optionsstaticroute

192.168.199.0/24next-hop10.11.11.11（到Site2内网的路由）

配置地址薄：

root#setsecurityzonessecurity-zoneTRUST

address-bookaddressSITE1-BOOK172.20.200.0/24root#setsecurityzonessecurity-zoneVPN-ZONE-

Site1address-bookaddressSITE2-BOOK192.168.199.0/24（可选配置）配置使SRX成为DHCPServer，为内网客户端分发IP。

root#editsystemservicesdhcppool172.20.200.0/24（配置地址池名称，必须以子网形式命令）

root#setaddress-rangelow172.20.200.100high172.20.200.200（IP分发范围）

root#setrouter172.20.200.254（分配的网关）

root#setname-server61.177.7.1（DNSIP）

2.配置IKE第一阶段，分三步，第一步是配置IKEproposal；第二阶段是IKEpolicy；第三步是IKEgateway。

第一步：

root#editsecurityikeproposalIKE-PHASE1-PROPOSAL（IKE-PHASE1-PROSOAL为自定义的名称）

root#setauthentication-methodpre-shared-keys（认证方式采用预共享密钥方式）

root#setauthentication-algorithmsha1（认证算法为hash1）

root#setdh-groupgroup2（DH组2）

root#setencryption-algorithm3des-cbc（加密算法3des）

第二步：

root#editsecurityikepolicyIKE-PHASE1-POLICY（IKE-PHASE1-POLICY为自定义policy名称）

root#setpre-shared-keyascii-text123456789（预共享密钥123456789，两端必须一致）

root#setproposalsIKE-PHASE1-PROPOSAL（引用第一步的Proposal）

root#setmodemain（配置为主模式main,另外还有一个被动模式aggressive,被动模式只有当你的VPN设备出接口为一个私有IP的时候需要再进行一次nat的时候才配置为此模式，比如远程拔号VPN，）

第三步配置IKEGateway

root#editsecurityikegatewayIKE-PHASE1-GATEWAY（定义ikegateway名称IKE-PHASE1-GATEWAY）

root#setike-policyIKE-PHASE1-POLICY（引用上面第二步的IKEPOLICY）

root#setaddress116.xxx.xxx.xxx（对端的即Site2出接口的IP）

root#setexternal-interfacefe-0/0/0.0（绑定到外网接口fe-0/0/0.0）

（可选配置DPD）

整个IKE第一阶段配置如下：

3.配置IKE第二阶段，也是分三步配置；第一步配置IPSEC

PROPOSAL，第二步配置IPSECPOLICY，第三步配置IPSECVPN。

第一步：

root#editsecurityipsecproposalIPSEC-PHASE2-PROPOSAL（定义名称IPSEC-PHASE2-PROPOSAL）

root#setencryption-algorithm3des-cbc

root#setauthentication-algorithmhmac-sha1-96root#setprotocolesp（协议只有AH和ESP，ESP用的最多，AH基本不用，AH不能用于第一阶段的被动模式aggressive）第二步配置IPSECPOLICY：

root#editsecurityipsecpolicyIPSEC-PHASE2-POLICY（定义名称IPSEC-PHASE2-POLICY）

root#setproposalsIPSEC-PHASE2-PROPOSAL（引用第二阶段的第一步proposal）

root#setperfect-forward-secrecykeysgroup2（完美向前转发组2）

root#setikeproxy-identitylocal172.20.200.0/24root#setikeproxy-identityremote192.168.199.0/24root#setikeproxy-identityserviceany

（如果对端是非JUNIPER产品，则要加入这三条命令，VPN才能通起来，第一个是本地的IP段，第二个是对端IP段）

第三步配置IPSECVPN

root#editsecurityipsecvpnIPSEC-PHASE2-VPN（定义名称IPSEC-PHASE2-VPN）

root#setikegatewayIKE-PHASE1-GATEWAY（引用第一阶段的IKEGATEWAY）

root#setikeipsec-policyIPSEC-PHASE2-POLICY（引用第二阶段的IPSEC-POLICY）

root#setbind-interfacest0.0（绑定到tunnel接口）全部第二阶段配置如下：

4.配置策略（双向的）：

先配置from-zoneTRUSTto-zoneVPN-ZONE-Site1

root#editsecuritypoliciesfrom-zoneTRUSTto-zoneVPN-ZONE-Site1

root#setpolicyVPN-Site1-Site2matchsource-addressSITE1-BOOK

root#setpolicyVPN-Site1-Site2matchdestination-addressSITE2-BOOK

root#setpolicyVPN-Site1-Site2matchapplicationany

root#setpolicyVPN-Site1-Site2thenpermit配置from-zoneVPN-ZONE-Site1to-zoneTRUST

root#editsecuritypoliciesfrom-zoneVPN-ZONE-Site1to-zoneTRUST

root#editpolicyVPN-Site2-Site1

root#setmatchsource-addressSITE2-BOOK

root#setmatchdestination-addressSITE1-BOOKroot#setmatchapplicationany

root#setthenpermit

全部策略配置如下：

至此，SRX上的配置已完成。

Site2的SSG防火墙配置如下：

1.新建一个ZONE，定义名称为：

VPN-ZONE，如下图

2.新建Tunnel.1端口

3.配置路由，设置到达Site1内网网段的路由的下一跳出口为Tunnel.1。

4.配置地址薄，新增一个地址薄属于VPN-ZONE，即Site1的内网地址段，如下：

新增一个本地端的地址薄，属于trustzone,如下图

5.配置VPN第一阶段，如下图

6.配置第二阶段

7.配置策略。

要做两条，一条fromtrusttoVPN-ZONE,一条fromVPN-ZONEtotrust

第一条fromtrusttoVPN-ZONE

第二条fromVPN-ZONEtotrust

策略配置完成如下：

以上Site2的SSG防火墙配置完成测试：

在Site2的一台主机上pingSite1防火墙的内网的一台主机IP172.20.200.100

是OK的

在Site1的防火墙上pingSite2防火墙的内网的一台主机

192.168.199.240

也是OK的，说明两边的VPN已经工作。

在SRX上查看第一阶段phase1的ikeSA

root>showsecurityikesecurity-associations（这条命令列出了所有在活动的phase1SA）

root>showsecurityikesecurity-associationsdetail（这条命令查看所有活动SA的详细信息）

看到SA的State是UP，

验证第二阶段phase2状态

命令：

root>showsecurityipsecsecurity-associations

root>showsecurityipsecstatistics（查看加解状态）