Juniper SRX 防火墙IPsec VPN 站点-站点

已于 2024-03-22 18:07:10 修改
阅读量547 收藏 8
点赞数 10
分类专栏: Juniper 文章标签: 网络 运维
于 2024-03-22 18:06:55 首次发布
By songxwn.com
本文链接:https://blog.csdn.net/u010151855/article/details/136948631
版权

简介

基于PNET-LAB模拟器,使用 vSRX-NG 23.4R1.9 镜像进行实验。

博客:songxwn.com

实验需求

两台防火墙配置基于路由的 IPsec VPN,打通两边站点内网。

ISP 路由器使用Cisco IOS模拟。

基础配置参考:https://songxwn.com/Juniper-SRX-snat/

SRX的基础配置

set system root-authentication plain-text-password
# vSRX 默认无root密码,会强制要求配置一个。
set system host-name SRX01
# 配置设备的主机名,方便标识。
set system time-zone Asia/Shanghai
# 配置设备时区,可能需要手动导入时区文件。https://www.juniper.net/documentation/cn/zh/software/junos/time-mgmt/topics/topic-map/configure-time-zone.html
set system ntp server 1.1.1.1 
# 配置NTP服务器地址。如果目标是域名,需要配置DNS服务器。(安全类产品时间很重要)
set interfaces ge-0/0/0 description LAN1
set interfaces ge-0/0/0 unit 0 family inet address 192.168.0.1/24
set interfaces ge-0/0/1 description WAN1
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/24
# 配置接口描述、配置IP地址。
set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2  
# 配置默认路由指向公网出口网关。
set security zones security-zone LAN
set security zones security-zone LAN host-inbound-traffic system-services all
set security zones security-zone LAN host-inbound-traffic protocols all
set security zones security-zone LAN interfaces ge-0/0/0.0
# 内网区域配置允许所有服务、允许所有协议进入,并把 ge-0/0/0.0 加入内网区域。
set security zones security-zone WAN       
set security zones security-zone WAN host-inbound-traffic system-services ping
set security zones security-zone WAN interfaces ge-0/0/1.0  
# 外网区域配置只允许ICMP进入区域,并把 ge-0/0/1.0 加入外网区域
set security nat source rule-set LAN_to_WAN_SNAT from zone LAN
# 配置NAT源区域
set security nat source rule-set LAN_to_WAN_SNAT to zone WAN
# 配置NAT目标区域
set security nat source rule-set LAN_to_WAN_SNAT rule Default_NAT match source-address 0.0.0.0/0
# 不限制源地址
set security nat source rule-set LAN_to_WAN_SNAT rule Default_NAT then source-nat interface
# 配置NAT地址为接口IP。
set security policies from-zone trust to-zone untrust policy default-permit then permit
set security policies from-zone LAN to-zone WAN policy Default-Permit match source-address any
set security policies from-zone LAN to-zone WAN policy Default-Permit match destination-address any
set security policies from-zone LAN to-zone WAN policy Default-Permit match application any
set security policies from-zone LAN to-zone WAN policy Default-Permit then permit
# 配置LAN区域到WAN区域允许所有IP和APP。
set system services dhcp pool 192.168.0.0/24 address-range low 192.168.0.101
set system services dhcp pool 192.168.0.0/24 address-range high 192.168.0.200
# 配置地址池192.168.0.0/24 配置分配地址范围。
set system services dhcp pool 192.168.0.0/24 name-server 114.114.114.114
# 配置DNS服务器
set system services dhcp pool 192.168.0.0/24 router 192.168.0.1
# 配置默认网关
set system services dhcp pool 192.168.0.0/24 default-lease-time 3600
# 配置IP地址保留时间
set security zones security-zone LAN interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp
# 配置LAN区域指定接口允许DHCP服务通过。
PS:接口的 IP 地址必须与 DHCP 池位于同网段中。配置完成之后,会自动关联。

实验步骤

实验拓扑

site1为 192.168.0.0/24

site2为 192.168.10.0/24

步骤规划

  1. 配置 st0 隧道接口,加入到LAN 安全区域。

  2. 配置第一阶段 IKE配置

  3. 配置第二阶段 IPsec配置

创建st0 隧道虚拟接口和加入安全区域(vSRX-NG01/02)

set interfaces st0 unit 0 family inet
set security zones security-zone LAN interfaces st0.0

安全策略-允许WAN口区域通过IKE(vSRX-NG01/02)

set security zones security-zone WAN host-inbound-traffic system-services ike

安全策略-允许IPsec虚拟接口关联访问LAN(vSRX-NG01/02)

set security policies from-zone LAN to-zone LAN policy default-permit match source-address any
set security policies from-zone LAN to-zone LAN policy default-permit match destination-address any
set security policies from-zone LAN to-zone LAN policy default-permit match application any
set security policies from-zone LAN to-zone LAN policy default-permit then permit
# 允许LAN区域的接口访问LAN区域,不限制IP。

配置一阶段IKE策略(vSRX-NG01)

set security ike proposal TO_site1_ike_pp authentication-method pre-shared-keys
set security ike proposal TO_site1_ike_pp dh-group group14
set security ike proposal TO_site1_ike_pp encryption-algorithm aes-256-gcm
set security ike proposal TO_site1_ike_pp lifetime-seconds 86385
# 配置IKE 提议的认证模式为与共享密钥,DH组为14,加密算法为 aes-256-gcm 。生命周期为86385秒。
set security ike policy TO_site1_ike_pl mode main
set security ike policy TO_site1_ike_pl proposals TO_site1_ike_pp
set security ike policy TO_site1_ike_pl pre-shared-key ascii-text songxwn.com
# 配置IKE策略为主模式,关联上面的提议,配置预共享密钥为 songxwn.com
set security ike gateway TO_site1_ike_gw ike-policy TO_site1_ike_pl
# 配置IKE网关,关联上面的IKE策略。
set security ike gateway TO_site1_ike_gw address 2.2.2.1
set security ike gateway TO_site1_ike_gw remote-identity hostname site2
# 配置IKE网关对端IP地址和对端ID标识符
set security ike gateway TO_site1_ike_gw external-interface ge-0/0/1.0
set security ike gateway TO_site1_ike_gw local-address 1.1.1.1
set security ike gateway TO_site1_ike_gw local-identity hostname site1
# 配置IKE网关本端源P地址和ID标识符。还有建立连接的接口。
set security ike gateway TO_site1_ike_gw version v2-only
# 配置IKE版本指定为 v2。

配置一阶段IKE策略(vSRX-NG02)

set security ike proposal TO_site2_ike_pp authentication-method pre-shared-keys
set security ike proposal TO_site2_ike_pp dh-group group14
set security ike proposal TO_site2_ike_pp encryption-algorithm aes-256-gcm
set security ike proposal TO_site2_ike_pp lifetime-seconds 86385
# 配置IKE 提议的认证模式为与共享密钥,DH组为14,加密算法为 aes-256-gcm 。生命周期为86385秒。
set security ike policy TO_site2_ike_pl mode main
set security ike policy TO_site2_ike_pl proposals TO_site2_ike_pp
set security ike policy TO_site2_ike_pl pre-shared-key ascii-text songxwn.com
# 配置IKE策略为主模式,关联上面的提议,配置预共享密钥为 songxwn.com
set security ike gateway TO_site2_ike_gw ike-policy TO_site2_ike_pl
# 配置IKE网关,关联上面的IKE策略。
set security ike gateway TO_site2_ike_gw address 1.1.1.1
set security ike gateway TO_site2_ike_gw remote-identity hostname site1
# 配置IKE网关对端IP地址和对端ID标识符
set security ike gateway TO_site2_ike_gw external-interface ge-0/0/1.0
set security ike gateway TO_site2_ike_gw local-address 2.2.2.1
set security ike gateway TO_site2_ike_gw local-identity hostname site2
# 配置IKE网关本端源P地址和ID标识符。还有建立连接的接口。
set security ike gateway TO_site2_ike_gw version v2-only
# 配置IKE版本指定为 v2。

配置二阶段IPsec策略(vSRX-NG01)

set security ipsec proposal TO_site1_ipsec_pp protocol esp
# 配置IPsec提议,指定加密封装类型为ESP。
set security ipsec proposal TO_site1_ipsec_pp encryption-algorithm aes-256-gcm
set security ipsec proposal TO_site1_ipsec_pp lifetime-seconds 43200
# 配置IPsec提议,指定加密算法、生存时间。
set security ipsec policy TO_site1_ipsec_pl proposals TO_site1_ipsec_pp
set security ipsec policy TO_site1_ipsec_pl perfect-forward-secrecy keys group14
# 配置IPsec策略,关联上面的IPsec提议。并配置PFS使用group14.
set security ipsec vpn TO_site1_ipsec_vpn bind-interface st0.0
set security ipsec vpn TO_site1_ipsec_vpn ike gateway TO_site1_ike_gw
set security ipsec vpn TO_site1_ipsec_vpn ike ipsec-policy TO_site1_ipsec_pl 
# 配置IPsec VPN,关联虚拟隧道接口为st0.0,关联IKE 网关为TO_site2_ike_gw。关联IPsec策略。
set security ipsec vpn TO_site1_ipsec_vpn traffic-selector ts-1 local-ip 192.168.0.0/24
set security ipsec vpn TO_site1_ipsec_vpn traffic-selector ts-1 remote-ip 192.168.10.0/24
# 配置流量策略,本地IP段为 192.168.0.0/24 ,远程IP段为 192.186.10.0/24
set security ipsec vpn TO_site1_ipsec_vpn establish-tunnels immediately
# 配置隧道在 VPN 配置更改提交后立即协商。

配置二阶段IPsec策略(vSRX-NG02)

set security ipsec proposal TO_site2_ipsec_pp protocol esp
# 配置IPsec提议,指定加密封装类型为ESP。
set security ipsec proposal TO_site2_ipsec_pp encryption-algorithm aes-256-gcm
set security ipsec proposal TO_site2_ipsec_pp lifetime-seconds 43200
# 配置IPsec提议,指定加密算法、生存时间。
set security ipsec policy TO_site2_ipsec_pl proposals TO_site2_ipsec_pp
set security ipsec policy TO_site2_ipsec_pl perfect-forward-secrecy keys group14
# 配置IPsec策略,关联上面的IPsec提议。并配置PFS使用group14.
set security ipsec vpn TO_site2_ipsec_vpn bind-interface st0.0
set security ipsec vpn TO_site2_ipsec_vpn ike gateway TO_site2_ike_gw
set security ipsec vpn TO_site2_ipsec_vpn ike ipsec-policy TO_site2_ipsec_pl 
# 配置IPsec VPN,关联虚拟隧道接口为st0.0,关联IKE 网关为TO_site2_ike_gw。关联IPsec策略。
set security ipsec vpn TO_site2_ipsec_vpn traffic-selector ts-1 local-ip 192.168.0.0/24
set security ipsec vpn TO_site2_ipsec_vpn traffic-selector ts-1 remote-ip 192.168.10.0/24
# 配置流量策略,本地IP段为 192.168.10.0/24 ,远程IP段为 192.186.0.0/24
set security ipsec vpn TO_site2_ipsec_vpn establish-tunnels immediately
# 配置隧道在 VPN 配置更改提交后立即协商。

配置验证

Web管理验证

命令验证

show security ike security-associations
# 查看IKE SA 当前状态
show security ipsec security-associations
# 查看IPsec SA当前状态
show security ipsec statistics
# 查看IPsec 统计信息
restart ipsec-key-management 
# 重启IPsec进程

实际Ping验证

官方文档

网工格物
关注
专栏目录
Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置
qq_43416206的博客
04-09 769
Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基于策略的 VPN站点间(Site-to-Site)的 VPNIPSec VPN 的典型应用,这里我们介绍两种站点间基于策略 VPN 的实现方式:站点两端都具备静态公网 IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网 IP 地址。
Juniper SRX300系列 —— 防火墙IPSec VPN配置详解
茉清语
09-01 1274
上一章节已详细讲解了防火墙的基础配置及dmz相关配置,在实际项目实践中往往离不开VPN的使用。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
Juniper防火墙基本功能配置
achejq的专栏
07-07 2744
物理接口IP配置 interfaces {             xe-0/0/0 {                             unit 0 {             family inet {                 address
Juniper防火墙常用
weixin_34261739的博客
02-13 833
1.set 设置各项参数和策略(set policy set address set interface)2.get 获取防火墙各数据(get system get config get mip get vip get interface get arp get permi cpu de get mem)3.unset 取消设置或修改(...
配置Juniper虚墙vSRX基于路由的IPsec VPN(WEB方式)
衡水铁头哥的博客
02-28 1109
正文共:1555 字 23 图,预估阅读时间:2 分钟我们前面分别配置了基于策略的IPsec VPN(Policy-Based IPsec VPNs)的WEB配置方式(配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式))和CLI配置方式(配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式))。正如之前所说,对于基于策略的IPsec VPN,每个隧道都需要单...
JuniperSRX防火墙简明配置手册-.doc
10-07
JuniperSRX防火墙简明配置手册-.doc
Juniper SRX防火墙管理手册JNPR-v2
09-28
Juniper SRX防火墙管理手册JNPR-v2,中文版配置手册!!
junipersrx防火墙配置管理手册-22页.pdf
11-18
junipersrx防火墙配置管理手册-22页.pdf
juniperSRX系列防火墙srx210-240-650.pdf
11-01
juniperSRX系列防火墙srx210-240-650.pdf
Juniper SRX防火墙故障排查令指导
06-30
Juniper-SRX防火墙包含低中高型号,不管是SRX100,还是SRX5800,都是基于Junos操作系统,因此在操作和配置上并无明显差别。当防火墙遇到故障时,部分型号也有些排查的令可能不被支持,但此文档也作了一定的区分...
Juniper网络防火墙配置手册图文全-juniper官方手册.doc
12-04
安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的 Juniper Networks 安全设备,您可以定义多个安全区段,确切数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段:
Juniper防火墙配置手册
10-16
Juniper 网络安全防火墙安装手册,从概述到安装配置都齐全的。
juniper防火墙详细配置手册
05-07
Juniper网络公司致力于实现网络商务模式的转型。作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络,其中包括全球顶尖的25家服务供应商和《财富》全球500强企业前15强中的8个企业。
Juniper网络防火墙配置手册.doc
07-08
Juniper网络防火墙配置手册/Juniper 防火墙基本原理/Juniper 防火墙管理/Juniper 防火墙攻击检测与防御
juniper防火墙令配置、界面配置、中文解释对应表
04-29
juniper防火墙令配置、界面配置、中文解释对应一览表
配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)
衡水铁头哥的博客
02-08 1249
正文共:1666 字 16 图,预估阅读时间:2 分钟通过前面几次实验,我们已经掌握了如何通过WEB页面配置基于策略的IPsec VPN,包括配置流量口(将Juniper虚拟防火墙vSRX导入EVE-NG)、配置路由转发(IPv6静态路由配置)、配置IPsec VPN(配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)),但前提是带外管理口要在令行进行配置(将Juniper...
CheckPoint防火墙Juniper SRX对接IPsecVPN(基于策略和证书)
最新发布
Qiq922的博客
08-17 624
CheckPoint防火墙Juniper SRX对接配置IPsecVPN(基于证书)
juniper srx 与cisco ASA ipsec ***对接(策略模式)
weixin_33713503的博客
08-02 302
ike { proposal ike-prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm md5; encryption-algorithm 3des-cbc; } polic...
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 1852
直接上配置,IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
Juniper SRX防火墙Web配置详解:从系统登录到自定义设置
本文档详细介绍了Juniper SRX防火墙的Web配置过程,主要涵盖了以下几个关键部分: 1. **系统配置** - **配置ROOT帐号密码**:登录Juniper SRX防火墙初始使用console方式,用户名为root,密码为空。设置root密码时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值