正文共:666 字 14 图,预估阅读时间:1 分钟
前面降vSRX导入到EVE-NG之后(将Juniper虚拟防火墙vSRX导入EVE-NG),我们就可以做一些简单的组网实验了。在配置IPsec VPN之前,我们先简单了解一下业务转发的基本配置。
还是使用两台vSRX设备,将带外管理口连接到管理网Net,再将两台设备的业务口ge-0/0/0互联,如下图所示:
参考之前的配置(将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试),配置好带外管理口的IP地址,通过WEB登录设备。在“Network→Connectivity→Interfaces”配置页面,先选中列表中的ge-0/0/0接口,然后点击“Create”,选择“Logical Interface”。
在弹出的对话框中,“Logical unit number”配置为0,对应命令行配置中的unit 0;“Zone”就是安全域(防火墙安全策略功能入门),此处我们选择“trust”;下方的“Protocol(family)”中,对应命令行中的family字段,IPv4对应inet,而IPv6对应inet6,此处我们配置IPv4地址(IPv4 Address)为12.1.1.2/24;最后点击“OK”确认配置。
然后我们点击右上角“Commit”下面的“View Configuration Changes”来查看变更的配置信息,再点击“Commit”提交变更。
同样的,配置vSRX1,记得点击“Commit”下面的“Commit configuration”提交配置。
然后,测试一下连通性。
可以看到,两台设备之间不通,但是可以学习到ARP信息,根据之前的经验,我们判断是安全策略的问题(V7防火墙配置基本操作)。
在“Security Policies & Objects”下面的“Zones/Screens”配置中,我们点击选中接口加入的安全域trust,然后点击右上角的编辑图标。
在Main页签,我们看到接口已经加入到trust安全域了。
在“Host Inbound Traffic-Zone”页签中,对于协议Protocols和服务Services两项,我们都选择all,通过中间的箭头添加到Selected选中,点击“OK”完成配置。
查看配置变更情况,并提交配置。
然后我们注意到两台设备此时就可以互访了。
照此操作,我们再给设备的ge-0/0/1添加一个逻辑接口,模拟两端内网,并加入到trust安全域。
接下来,在“Network→Routing→Static Routing”页面配置静态路由,点击列表右上角的加号,在弹出的对话框中,输入目的网段和子网掩码,点击Next-hop下面的加号,配置下一跳IP地址,点击“OK”完成配置。
查看配置变更情况,并提交配置。
同理,在vSRX2设备上也添加静态路由,然后测试可达性。
没问题,流量转发成功!
长按二维码
关注我们吧
将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试
L2TP over IPsec复杂吗?有点!所以建议你看看这篇文章
Windows Server调整策略实现999999个远程用户用时登录