Juniper防火墙IPSecVPN的配置

Ju niper 防火墙IPSec VPN 的配置 Juniper 所有系列防火墙都支持IPSec VPN，其配置方式有多种，包括：基于策略的VPN、基于路由的VPN、集中星形VPN 和背靠背VPN 等。在这里，我们主要介绍最常用的VPN模式：基于策略的VPN。 站点间（Site-to-Site）的VPN 是IPSec VPN 的典型应用，这里我们介绍两种站点间基于策略VPN 的实现方式：站点两端都具备静态公网IP 地址；站点两端其中一端具备静态公网IP 地址，另一端动态公网IP 地址。 4.1、站点间IPSec VPN 配置：staic ip-to-staic ip 当创建站点两端都具备静态IP 的VPN 应用中，位于两端的防火墙上的VPN 配置基本相同，不同之处是在VPN gateway部分的VPN 网关指向IP 不同，其它部分相同。 VPN 组网拓扑图：staic ip-to-staic ip 4.1.1、使用Web 浏览器方式配置 ① 登录防火墙设备，配置防火墙为三层部署模式； ② 定义 VPN 第一阶段的相关配置：VPNs=>Autokey Adwanced=>Gateway 配置VPN gateway部分，定义 VPN 网关名称、定义“对端VPN 设备的公网IP 地址” 为本地VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口； ③ 在VPN gateway的高级（Advanced）部分，定义相关的VPN 隧道协商的加密算法、选择 VPN 的发起模式； ④ 配置VPN 第一阶段完成显示列表如下图； ⑤ 定义 VPN 第二阶段的相关配置：VPNs=>Autokey IKE 在Autokey IKE 部分，选择第一阶段的VPN 配置； ⑥ 在VPN 第二阶段高级（Advances）部分，选择VPN 的加密算法； ⑦ 配置VPN 第二阶段完成显示列表如下图； ⑧ 定义VPN 策略，选择地址和服务信息，策略动作选择为：隧道模式；VPN 隧道选择为：刚刚定义的隧道，选择是否设置为双向策略； 4 .1 .2 、使用命令行方式配置 CL I ( 东京) ① 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 ② 定义路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 ③ 定义地址 set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 ④ 定义IPSec VPN set ike gateway to_paris address 2.2.2.2 main outg...