Ju niper 防火墙IPSec VPN 的配置 Juniper 所有系列防火墙都支持IPSec VPN,其配置方式有多种,包括:基于策略的VPN、基于路由的VPN、集中星形VPN 和背靠背VPN 等。在这里,我们主要介绍最常用的VPN模式:基于策略的VPN。 站点间(Site-to-Site)的VPN 是IPSec VPN 的典型应用,这里我们介绍两种站点间基于策略VPN 的实现方式:站点两端都具备静态公网IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网IP 地址。 4.1、站点间IPSec VPN 配置:staic ip-to-staic ip 当创建站点两端都具备静态IP 的VPN 应用中,位于两端的防火墙上的VPN 配置基本相同,不同之处是在VPN gateway部分的VPN 网关指向IP 不同,其它部分相同。 VPN 组网拓扑图:staic ip-to-staic ip 4.1.1、使用Web 浏览器方式配置 ① 登录防火墙设备,配置防火墙为三层部署模式; ② 定义 VPN 第一阶段的相关配置:VPNs=>Autokey Adwanced=>Gateway 配置VPN gateway部分,定义 VPN 网关名称、定义“对端VPN 设备的公网IP 地址” 为本地VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口; ③ 在VPN gateway的高级(Advanced)部分,定义相关的VPN 隧道协商的加密算法、选择 VPN 的发起模式; ④ 配置VPN 第一阶段完成显示列表如下图; ⑤ 定义 VPN 第二阶段的相关配置:VPNs=>Autokey IKE 在Autokey IKE 部分,选择第一阶段的VPN 配置; ⑥ 在VPN 第二阶段高级(Advances)部分,选择VPN 的加密算法; ⑦ 配置VPN 第二阶段完成显示列表如下图; ⑧ 定义VPN 策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN 隧道选择为:刚刚定义的隧道,选择是否设置为双向策略; 4 .1 .2 、使用命令行方式配置 CL I ( 东京) ① 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 ② 定义路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 ③ 定义地址 set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 ④ 定义IPSec VPN set ike gateway to_paris address 2.2.2.2 main outg...
