1、Juniper SRX 与 SSG防火墙基于路由VPNJuniper SRX 与 SSG防火墙基于路由VPN实验用的是一台Juniper SRX 100H的小防火墙和一台SSG 550的防火墙。配置SRX之前,删除了所有的SRX的初厂设置。在配置模式下用delete.可删除所有的配置。1. 基本配置:(接口、IP、Zone划分、路由)SRX基本配置:配置一个security-zone UNTRUST并把fe-0/0/0.0放入这个zone.并且允许其他外网地址ping 这个端口,允许ping只是单纯了为测试。 root# edit security zones security-zone UN
2、TRUSTroot# set interfaces fe-0/0/0.0 host-inbound-traffic system-services pingroot# set security zones security-zone UNTRUST interfaces fe-0/0/0.0 host-inbound-traffic system-services ike (这一个很重要,因为默认SRX在出接口上并没有放行ike的包,但是这次实验中,没有打上这条命令,VPN也正常工作了。在这里还请注意。)配置fe-0/0/0 unit 0端口IP,做出接口,连接外网。命令如下: 配置一个sec
3、urity-zone TRUST并把fe-0/0/7.0放入这个zone.允许所有的system-services。root# edit security zones security-zoneroot# set interfaces fe-0/0/7.0 host-inbound-traffic system-services all配置fe-0/0/7 unit 0 端口IP,做为内网接口。新建一个st0.0接口,并设置IP为10.11.11.10/30; 并将这个接口划入一个新建的Zone:VPN-ZONE-Site1. root# set interfaces st0 unit 0 f
4、amily inet address 10.11.11.10/30root# set security zones security-zone VPN-ZONE-Site1 interfaces st0.0配置路由:配置一条默认路由和一条目地为对方的私网IP、下一跳为对方的tunnel口的IP的静态路由。 root# set routing-options static route 0.0.0.0/0 next-hop 222.XXX.XXX.XXX (默认路由)root# set routing-options static route192.168.199.0/24 next-hop 10
5、.11.11.11 (到Site2内网的路由)配置地址薄:root# set security zones security-zone TRUSTaddress-book address SITE1-BOOK 172.20.200.0/24 root# set security zones security-zone VPN-ZONE-Site1 address-book address SITE2-BOOK 192.168.199.0/24 (可选配置)配置使SRX成为DHCP Server,为内网客户端分发IP。 root# edit system services dhcp pool 1
6、72.20.200.0/24(配置地址池名称,必须以子网形式命令)root# set address-range low 172.20.200.100 high 172.20.200.200 (IP分发范围)root# set router 172.20.200.254 (分配的网关)root# set name-server 61.177.7.1 (DNS IP)2. 配置IKE第一阶段,分三步,第一步是配置IKE proposal;第二阶段是IKE policy;第三步是IKE gateway。 第一步:root# edit security ike proposal IKE-PHASE1
7、-PROPOSAL (IKE-PHASE1-PROSOAL为自定义的名称)root# set authentication-method pre-shared-keys (认证方式采用预共享密钥方式)root# set authentication-algorithm sha1 (认证算法为hash1)root# set dh-group group2 (DH组2)root# set encryption-algorithm 3des-cbc (加密算法3des)第二步:root# edit security ike policy IKE-PHASE1-POLICY (IKE-PHASE1-P
8、OLICY为自定义policy名称)root# set pre-shared-key ascii-text 123456789 (预共享密钥123456789,两端必须一致)root# set proposals IKE-PHASE1-PROPOSAL (引用第一步的Proposal)root# set mode main (配置为主模式main,另外还有一个被动模式aggressive,被动模式只有当你的VPN设备出接口为一个私有IP的时候需要再进行一次nat的时候才配置为此模式,比如远程拔号VPN,)第三步配置IKE Gatewayroot# edit security ike gatew
9、ay IKE-PHASE1-GATEWAY (定义ike gateway名称IKE-PHASE1-GATEWAY)root# set ike-policy IKE-PHASE1-POLICY (引用上面第二步的IKE POLICY)root# set address 116.xxx.xxx.xxx (对端的即Site2出接口的IP)root# set external-interface fe-0/0/0.0 (绑定到外网接口fe-0/0/0.0)(可选配置DPD)整个IKE第一阶段配置如下:3. 配置IKE第二阶段,也是分三步配置;第一步配置IPSECPROPOSAL,第二步配置IPSEC
10、POLICY,第三步配置IPSEC VPN。 第一步:root# edit security ipsec proposal IPSEC-PHASE2-PROPOSAL (定义名称IPSEC-PHASE2-PROPOSAL)root# set encryption-algorithm 3des-cbcroot# set authentication-algorithm hmac-sha1-96 root# set protocol esp (协议只有AH和ESP,ESP用的最多,AH基本不用,AH不能用于第一阶段的被动模式aggressive) 第二步配置IPSEC POLICY:root# e
11、dit security ipsec policy IPSEC-PHASE2-POLICY (定义名称IPSEC-PHASE2-POLICY)root# set proposals IPSEC-PHASE2-PROPOSAL (引用第二阶段的第一步proposal)root# set perfect-forward-secrecy keys group2 (完美向前转发组2)root# set ike proxy-identity local 172.20.200.0/24 root# set ike proxy-identity remote 192.168.199.0/24 root# s
12、et ike proxy-identity service any(如果对端是非JUNIPER产品,则要加入这三条命令,VPN才能通起来,第一个是本地的IP段,第二个是对端IP段)第三步配置IPSEC VPNroot# edit security ipsec vpn IPSEC-PHASE2-VPN (定义名称IPSEC-PHASE2-VPN)root# set ike gateway IKE-PHASE1-GATEWAY (引用第一阶段的IKE GATEWAY)root# set ike ipsec-policy IPSEC-PHASE2-POLICY (引用第二阶段的IPSEC-POLIC
13、Y)root# set bind-interface st0.0 (绑定到tunnel接口) 全部第二阶段配置如下:4. 配置策略(双向的):先配置from-zone TRUST to-zone VPN-ZONE-Site1root# edit security policies from-zone TRUST to-zone VPN-ZONE-Site1root# set policy VPN-Site1-Site2 match source-address SITE1-BOOKroot# set policy VPN-Site1-Site2 match destination-addres
14、s SITE2-BOOKroot# set policy VPN-Site1-Site2 match application anyroot# set policy VPN-Site1-Site2 then permit 配置from-zone VPN-ZONE-Site1 to-zone TRUSTroot# edit security policies from-zone VPN-ZONE-Site1 to-zone TRUSTroot# edit policy VPN-Site2-Site1root# set match source-address SITE2-BOOKroot# se
15、t match destination-address SITE1-BOOK root# set match application anyroot# set then permit全部策略配置如下:至此,SRX上的配置已完成。Site2的SSG防火墙配置如下:1. 新建一个ZONE,定义名称为:VPN-ZONE,如下图2. 新建Tunnel.1端口3. 配置路由,设置到达Site1内网网段的路由的下一跳出口为Tunnel.1。4. 配置地址薄,新增一个地址薄属于VPN-ZONE,即Site1的内网地址段,如下:新增一个本地端的地址薄,属于trust zone,如下图5. 配置VPN 第一阶段
16、,如下图6. 配置第二阶段7. 配置策略。要做两条,一条 from trust to VPN-ZONE,一条 from VPN-ZONE to trust第一条from trust to VPN-ZONE第二条 from VPN-ZONE to trust策略配置完成如下:以上Site2的SSG防火墙配置完成 测试:在Site2的一台主机上ping Site1防火墙的内网的一台主机IP 172.20.200.100是OK的在Site1的防火墙上ping Site2防火墙的内网的一台主机192.168.199.240也是OK的,说明两边的VPN已经工作。在SRX上查看第一阶段phase1的ike SAroot show security ike security-associations (这条命令列出了所有在活动的phase1 SA)root show security ike security-associations detail (这条命令查看所有活动SA的详细信息)看到SA的State是UP,验证第二阶段phase2状态命令:root show security ipsec security-associationsroot show security ipsec statistics (查看加解状态)
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1