基于路由的IPsec VPN

已于 2024-05-20 10:21:23 修改
阅读量170 收藏 3
点赞数 10
分类专栏: 网络 # juniper 文章标签: 网络 网络协议
于 2024-05-20 10:20:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84389418/article/details/138992815
版权

目录

概要

应用场景

网络拓扑

配置

小结

概要

基于路由的VPN是一种配置,在两个端点之间创建IPsec VPN隧道并配置隧道路由,通过目标IP地址确定哪些流量通过隧道转发。

应用场景

  • 两个LAN之间存在重叠的子网或IP地址
  • 网络中使用的是中心辐射型VPN拓扑,需要辐射式流量
  • 需要主VPN和备用VPN
  • VPN中运行的是动态路由协议

网络拓扑

配置

  • SRX1500-1
set system host-name SRX1500-1

set system time-zone Asia/Shanghai
set security ike proposal Ike_Phase1_Proposal authentication-method pre-shared-keys
set security ike policy Ike_Phase1_Policy mode main
set security ike policy Ike_Phase1_Policy proposals Ike_Phase1_Proposal
set security ike policy Ike_Phase1_Policy pre-shared-key ascii-text "$9$/pPM9pBIRSleWB17-ws4o"
set security ike gateway Ike_Gateway ike-policy Ike_Phase1_Policy
set security ike gateway Ike_Gateway address 172.16.2.1
set security ike gateway Ike_Gateway external-interface ge-0/0/2

set security ipsec proposal Ipsec_Phase2_Proposal
set security ipsec policy Ipsec_Phase_Policy proposals Ipsec_Phase2_Proposal
set security ipsec vpn Ipsec_VPN bind-interface st0.0
set security ipsec vpn Ipsec_VPN ike gateway Ike_Gateway
set security ipsec vpn Ipsec_VPN ike ipsec-policy Ipsec_Phase_Policy
set security ipsec vpn Ipsec_VPN establish-tunnels immediately

set security address-book Host1 address 10.1.2.0/24 10.1.2.0/24
set security address-book Host1 attach zone trust
set security address-book VPN_Address address 10.1.1.0/24 10.1.1.0/24
set security address-book VPN_Address attach zone VPN

set security flow tcp-mss ipsec-vpn mss 1350

set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address 10.1.2.0/24
set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address 10.1.1.0/24
set security policies from-zone trust to-zone VPN policy VPN-OUT match application any
set security policies from-zone trust to-zone VPN policy VPN-OUT then permit
set security policies from-zone VPN to-zone trust policy VPN_IN match source-address 10.1.1.0/24
set security policies from-zone VPN to-zone trust policy VPN_IN match destination-address 10.1.2.0/24
set security policies from-zone VPN to-zone trust policy VPN_IN match application any
set security policies from-zone VPN to-zone trust policy VPN_IN then permit

set security zones security-zone trust host-inbound-traffic system-services ping
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces ge-0/0/2.0
set security zones security-zone VPN host-inbound-traffic system-services ping
set security zones security-zone VPN interfaces st0.0

set interfaces ge-0/0/0 unit 0 family inet address 10.1.2.15/24
set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24
set interfaces lo0 unit 0 family inet address 1.1.1.1/32
set interfaces st0 unit 0 family inet address 5.5.5.1/24

set routing-options static route 0.0.0.0/0 next-hop 172.16.1.2
set routing-options static route 10.1.1.0/24 next-hop st0.0
  • SRX1500-2
set system host-name SRX1500-2

set security ike proposal Ike_Phase1_Proposal authentication-method pre-shared-keys
set security ike policy Ike_Phase1_Policy mode main
set security ike policy Ike_Phase1_Policy proposals Ike_Phase1_Proposal
set security ike policy Ike_Phase1_Policy pre-shared-key ascii-text "$9$2qgJDiHm5T3DjCtOBEh"
set security ike gateway Ike_Gateway ike-policy Ike_Phase1_Policy
set security ike gateway Ike_Gateway address 172.16.1.1
set security ike gateway Ike_Gateway external-interface ge-0/0/2

set security ipsec proposal Ipsec_Phase2_Proposal
set security ipsec policy Ipsec_Phase2_Policy proposals Ipsec_Phase2_Proposal
set security ipsec vpn Ipsec_VPN bind-interface st0.0
set security ipsec vpn Ipsec_VPN ike gateway Ike_Gateway
set security ipsec vpn Ipsec_VPN ike ipsec-policy Ipsec_Phase2_Policy
set security ipsec vpn Ipsec_VPN establish-tunnels immediately

set security address-book Host2 address 10.1.1.0/24 10.1.1.0/24
set security address-book Host2 attach zone trust
set security address-book VPN_Address address 10.1.2.0/24 10.1.2.0/24
set security address-book VPN_Address attach zone VPN

set security flow tcp-mss ipsec-vpn mss 1350

set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address 10.1.1.0/24
set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address 10.1.2.0/24
set security policies from-zone trust to-zone VPN policy VPN-OUT match application any
set security policies from-zone trust to-zone VPN policy VPN-OUT then permit
set security policies from-zone VPN to-zone trust policy VPN-IN match source-address 10.1.2.0/24
set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address 10.1.1.0/24
set security policies from-zone VPN to-zone trust policy VPN-IN match application any
set security policies from-zone VPN to-zone trust policy VPN-IN then permit

set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust interfaces ge-0/0/2.0
set security zones security-zone VPN host-inbound-traffic system-services ping
set security zones security-zone VPN interfaces st0.0

set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.15/24
set interfaces ge-0/0/2 unit 0 family inet address 172.16.2.1/24
set interfaces lo0 unit 0 family inet address 2.2.2.2/32
set interfaces st0 unit 0 family inet address 5.5.5.2/24
set routing-options static route 0.0.0.0/0 next-hop 172.16.2.2
set routing-options static route 10.1.2.0/24 next-hop st0.0
  • Internet
set system host-name Internet
set chassis alarm management-ethernet link-down ignore

set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/24
set interfaces ge-0/0/46 unit 0 family inet address 172.16.2.2/24

小结

  1. 与基于策略的VPN不同,对于基于路由的VPN,策略是指目标地址,而非VPN隧道。
  2. 基于路由的VPN允许在多个远程站点之间的分支之间进行路由,易于配置、监控和故障排除。
  3. TCP-MSS作为TCP三次握手的一部分协商,并限制TCP分段的最大大小,以便更好地适应网络上的MTU限制。
Purdy网络
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷网络VPN功能—IPSEC 基础配置—基于数字证书的IPSec动态隧道(主模式)
君逍遥o
09-05 597
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,且分支机构采用ADSL拨号(公网IP地址不固定)的方式上互联网,总部和分支机构采用数字证书分别验证对方的合法性,此时您可以在总公司的网络设备上启用基于数字证书的动态IPSec VPN,分公司的网络设备上启用基于数字证书的静态IPSec VPN
两个网关之间建立GRE over IPSec VPNIPSec安全策略方式)
加油!
06-26 1136
GRE VPN无法直接实现数据的加密,而IPSec只能对单播数据进行加密保护。因此,对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的数据报文进行IPSec的加密处理,就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec解决了IPSec不支持组播、广播和非IP报文的缺点。对于这些报文数据,首先采用GRE进行封装,IPSec就可以把这些报文当作普通报文进行处理。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 9176
路由器基础(十二):IPSEC VPN配置
IPSEC VPN配置
m0_71264131的博客
04-14 872
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
配置两个网关之间通过IPSec VPN互联并通过总部IPSec网关进行NAT后上网
2301_76769041的博客
10-28 588
RouterA为NAT网关,总部RouterA和分支RouterB为固定公网地址,RouterC为动态公网IP地址;配置完成后,PC1在任何时候都可以访问公网,可以ping通RouterB的1.1.5.1,同时在RouterA上可以查看NAT转换session表项。PC2在任何时候可以访问到公网,可以ping通公网的IP地址(假设为1.1.6.1),同时在RouterA上可以查看NAT转换session表项。分支上RouterB可以查看到对端为总部的IKE SA,RouterB是发起方,标志位为ST。
IPSec VPN原理与配置
qq_61946091的博客
06-15 1万+
IPSec
IPSEC VPN
weixin_53946822的博客
12-12 157
是一组基于网络层的,应用密码学的安全通信协议族。IPSec不 是具体指哪个协议,而是一个开放的协议族。
IPSec VPN
Jun_share
04-04 615
crypto ipsec transform-set myset esp-3des esp-sha-hmac //通过transform-set转换集设置阶段二的IPSec策略,名字为myset。r1(config-crypto-map)#set transform-set cjj --- 采用什么样的策略,关联转换集。r1(config-crypto-map)#match address 100 --- 保护什么样的流量,关联感兴趣流。--- 机密性(加密算法)
HCIE-Security Day30:IPSec:实验(五)配置基于路由IPSec PN(采用预共享密钥认证)
小梁的博客
03-21 5171
IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。 此前使用的都是acl方式定义的感兴趣流。 还有一种方式是路由方式。 通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。 简化配置:不需使用acl定义流量特征 支持动态路...
ipsec vpn 旁路nat,使用ike密钥交换
文强的博客
06-06 1963
实现总部和分部PC互通 互联网路由器: system interface GigabitEthernet0/0/0 ip address 1.1.1.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 2.2.2.2 255.255.255.0 AR1: system sysname AR1 ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 #上互联网的路由,配置到对端公网IP路由 ike prop
IPSec基于路由建立隧道---预共享密钥认证方式实验(安全框架)
m0_49864110的博客
05-21 632
目录 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 将接口加入相应的安全区域(本次单独为Tunnel口创建一个区域) 配置去公网的路由 配置安全策略 向服务组添加IKE、IPSec协商使用的ISAKMP报文 配置IKE与IPSec协商安全策略 配置安全协议(封装数据报文)的安全策略 配置PC2与PC1互访的安全策略 配置PC1出去内网1的安全策略 配置IPSec(采用IKEv1主模式建立SA) 配置IPSec感兴趣流(路由方式) 配置IKE安全提议(加密、验....
配置Juniper虚墙vSRX基于路由IPsec VPN(CLI方式)
衡水铁头哥的博客
02-29 941
正文共:1666 字 16 图,预估阅读时间:2 分钟我们现在已经了解了基于策略的IPsec VPN(Policy-Based IPsec VPNs)的WEB配置方式(配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式))和CLI配置方式(配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)),也学习了基于路由VPN(Route-Based IPsec V...
VPN部署场景——IPSec VPN—点到点VPN(1)
君逍遥o
09-21 1720
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
华为路由IPSec VPN 配置
一直被模仿,从未被超越
05-31 8176
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
配置基于路由ipsec 隧道
搬砖小胖子
08-06 4058
设备名称 接口 IP地址 内网地址 备注 BJ_AR2240 Tunnel0/0/1 169.254.2.1/30 192.168.0.0/16 VPN接口 WQ_AR2240 Tunnel0/0/1 169.254.2.2/30 172.20.0.0/16 VPN接口 说明: 与基于模板的ipsec vpn不同的是,基于路由ipsec vpn没有acl 感兴趣流的限制,...
华为eNSP IPsec VPN配置指南
外游者
04-10 6248
虚拟专用网络VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
IPSec VPN的原理与配置
2301_78256093的博客
06-14 9263
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
华为路由器实现ipsec
热门推荐
a_helloworlds的博客
01-15 2万+
ipsec,指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路...
浏览器发送HTTP请求的过程
最新发布
学Python的小白!
08-25 1229
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
Ipsec路由课程设计
03-31
在这个课程设计中,我们将重点关注IPsec路由实现的原理和实践操作,通过实验学习IPsec协议的相关知识,掌握IPsec路由的配置和管理技能。 2. 课程目标 通过本课程的学习,你将能够: - 理解IPsec协议的基本原理和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值