Juniper SRX 与 SSG防火墙基于路由VPN.docx

1、Juniper SRX 与 SSG防火墙基于路由VPNJuniper SRX 与 SSG防火墙基于路由VPN实验用的是一台Juniper SRX 100H的小防火墙和一台SSG 550的防火墙。配置SRX之前，删除了所有的SRX的初厂设置。在配置模式下用delete.可删除所有的配置。1. 基本配置：（接口、IP、Zone划分、路由）SRX基本配置：配置一个security-zone UNTRUST并把fe-0/0/0.0放入这个zone.并且允许其他外网地址ping 这个端口，允许ping只是单纯了为测试。 root# edit security zones security-zone UN

2、TRUSTroot# set interfaces fe-0/0/0.0 host-inbound-traffic system-services pingroot# set security zones security-zone UNTRUST interfaces fe-0/0/0.0 host-inbound-traffic system-services ike （这一个很重要，因为默认SRX在出接口上并没有放行ike的包，但是这次实验中，没有打上这条命令，VPN也正常工作了。在这里还请注意。）配置fe-0/0/0 unit 0端口IP，做出接口，连接外网。命令如下： 配置一个sec

3、urity-zone TRUST并把fe-0/0/7.0放入这个zone.允许所有的system-services。root# edit security zones security-zoneroot# set interfaces fe-0/0/7.0 host-inbound-traffic system-services all配置fe-0/0/7 unit 0 端口IP，做为内网接口。新建一个st0.0接口，并设置IP为10.11.11.10/30; 并将这个接口划入一个新建的Zone:VPN-ZONE-Site1. root# set interfaces st0 unit 0 f

4、amily inet address 10.11.11.10/30root# set security zones security-zone VPN-ZONE-Site1 interfaces st0.0配置路由：配置一条默认路由和一条目地为对方的私网IP、下一跳为对方的tunnel口的IP的静态路由。 root# set routing-options static route 0.0.0.0/0 next-hop 222.XXX.XXX.XXX (默认路由)root# set routing-options static route192.168.199.0/24 next-hop 10

5、.11.11.11 (到Site2内网的路由)配置地址薄：root# set security zones security-zone TRUSTaddress-book address SITE1-BOOK 172.20.200.0/24 root# set security zones security-zone VPN-ZONE-Site1 address-book address SITE2-BOOK 192.168.199.0/24 （可选配置）配置使SRX成为DHCP Server，为内网客户端分发IP。 root# edit system services dhcp pool 1

6、72.20.200.0/24(配置地址池名称，必须以子网形式命令)root# set address-range low 172.20.200.100 high 172.20.200.200 （IP分发范围）root# set router 172.20.200.254 （分配的网关）root# set name-server 61.177.7.1 （DNS IP）2. 配置IKE第一阶段，分三步，第一步是配置IKE proposal；第二阶段是IKE policy；第三步是IKE gateway。 第一步：root# edit security ike proposal IKE-PHASE1

7、-PROPOSAL （IKE-PHASE1-PROSOAL为自定义的名称）root# set authentication-method pre-shared-keys （认证方式采用预共享密钥方式）root# set authentication-algorithm sha1 （认证算法为hash1）root# set dh-group group2 （DH组2）root# set encryption-algorithm 3des-cbc （加密算法3des）第二步：root# edit security ike policy IKE-PHASE1-POLICY （IKE-PHASE1-P

8、OLICY为自定义policy名称）root# set pre-shared-key ascii-text 123456789 （预共享密钥123456789，两端必须一致）root# set proposals IKE-PHASE1-PROPOSAL （引用第一步的Proposal）root# set mode main （配置为主模式main,另外还有一个被动模式aggressive,被动模式只有当你的VPN设备出接口为一个私有IP的时候需要再进行一次nat的时候才配置为此模式，比如远程拔号VPN，）第三步配置IKE Gatewayroot# edit security ike gatew

9、ay IKE-PHASE1-GATEWAY （定义ike gateway名称IKE-PHASE1-GATEWAY）root# set ike-policy IKE-PHASE1-POLICY （引用上面第二步的IKE POLICY）root# set address 116.xxx.xxx.xxx （对端的即Site2出接口的IP）root# set external-interface fe-0/0/0.0 （绑定到外网接口fe-0/0/0.0）（可选配置DPD）整个IKE第一阶段配置如下：3. 配置IKE第二阶段，也是分三步配置；第一步配置IPSECPROPOSAL，第二步配置IPSEC

10、POLICY，第三步配置IPSEC VPN。 第一步：root# edit security ipsec proposal IPSEC-PHASE2-PROPOSAL （定义名称IPSEC-PHASE2-PROPOSAL）root# set encryption-algorithm 3des-cbcroot# set authentication-algorithm hmac-sha1-96 root# set protocol esp （协议只有AH和ESP，ESP用的最多，AH基本不用，AH不能用于第一阶段的被动模式aggressive） 第二步配置IPSEC POLICY：root# e

11、dit security ipsec policy IPSEC-PHASE2-POLICY （定义名称IPSEC-PHASE2-POLICY）root# set proposals IPSEC-PHASE2-PROPOSAL （引用第二阶段的第一步proposal）root# set perfect-forward-secrecy keys group2 （完美向前转发组2）root# set ike proxy-identity local 172.20.200.0/24 root# set ike proxy-identity remote 192.168.199.0/24 root# s

12、et ike proxy-identity service any（如果对端是非JUNIPER产品，则要加入这三条命令，VPN才能通起来，第一个是本地的IP段，第二个是对端IP段）第三步配置IPSEC VPNroot# edit security ipsec vpn IPSEC-PHASE2-VPN （定义名称IPSEC-PHASE2-VPN）root# set ike gateway IKE-PHASE1-GATEWAY （引用第一阶段的IKE GATEWAY）root# set ike ipsec-policy IPSEC-PHASE2-POLICY （引用第二阶段的IPSEC-POLIC

13、Y）root# set bind-interface st0.0 （绑定到tunnel接口） 全部第二阶段配置如下：4. 配置策略（双向的）：先配置from-zone TRUST to-zone VPN-ZONE-Site1root# edit security policies from-zone TRUST to-zone VPN-ZONE-Site1root# set policy VPN-Site1-Site2 match source-address SITE1-BOOKroot# set policy VPN-Site1-Site2 match destination-addres

14、s SITE2-BOOKroot# set policy VPN-Site1-Site2 match application anyroot# set policy VPN-Site1-Site2 then permit 配置from-zone VPN-ZONE-Site1 to-zone TRUSTroot# edit security policies from-zone VPN-ZONE-Site1 to-zone TRUSTroot# edit policy VPN-Site2-Site1root# set match source-address SITE2-BOOKroot# se

15、t match destination-address SITE1-BOOK root# set match application anyroot# set then permit全部策略配置如下：至此，SRX上的配置已完成。Site2的SSG防火墙配置如下：1. 新建一个ZONE，定义名称为：VPN-ZONE，如下图2. 新建Tunnel.1端口3. 配置路由，设置到达Site1内网网段的路由的下一跳出口为Tunnel.1。4. 配置地址薄，新增一个地址薄属于VPN-ZONE，即Site1的内网地址段，如下：新增一个本地端的地址薄，属于trust zone,如下图5. 配置VPN 第一阶段

16、，如下图6. 配置第二阶段7. 配置策略。要做两条，一条 from trust to VPN-ZONE,一条 from VPN-ZONE to trust第一条from trust to VPN-ZONE第二条 from VPN-ZONE to trust策略配置完成如下：以上Site2的SSG防火墙配置完成 测试：在Site2的一台主机上ping Site1防火墙的内网的一台主机IP 172.20.200.100是OK的在Site1的防火墙上ping Site2防火墙的内网的一台主机192.168.199.240也是OK的，说明两边的VPN已经工作。在SRX上查看第一阶段phase1的ike SAroot show security ike security-associations （这条命令列出了所有在活动的phase1 SA）root show security ike security-associations detail (这条命令查看所有活动SA的详细信息)看到SA的State是UP，验证第二阶段phase2状态命令：root show security ipsec security-associationsroot show security ipsec statistics （查看加解状态）