Juniper与其他设备建立IPSec ***通信

最新推荐文章于 2023-09-01 14:12:28 发布
最新推荐文章于 2023-09-01 14:12:28 发布
阅读量192 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33737134/article/details/85029998
版权
目的:使用 IPSEC *** 的方式连接两个办公区域。
设备: Juniper  、飞鱼星 V1000 非同厂商设备。
起因:新办公区域没有采购网络设备的预算,手头只有一台飞鱼星V1000。起初准备用RouterOS来做,不过购买许可会产生额外费用,因此只能使用手头已经资源来搭建。
本文对于不熟悉Juniper设备的同学有一定的参考意义。Juniper是一个很早做***和防火墙的厂商,其产品在规则设置这一块非常全面。
 
注:本文的图片均是高清大图,火狐中右键点击选择查看图片可以看到未压缩的图,360浏览器中需要按住图片,拖动一下,也可以看到原始大图。
1、 建立*** 网关
***s AutoKey Advanced GateWay 建立一个新的网关,地址为对端的防火墙地址。
网关地址可以任意填写,最好是填写具有实际意义的说明文字,安全级别使用 Custom ;网关类型使用固定 IP (这种方式适用于使用光纤接入的办公区域), IP 地址填写对端防火墙地址,这次所填写的是飞鱼星 V1000 的外网地址。 Preshared Key 填写任意字符作为密钥,对端设置时需要输入同样的内容。由于我们主要拿光环新网做 *** 的负载,因此 Outgoing Interface 需要选择 Ethemet 3

点击高级进入下一个设置菜单。选择 Phase 1 Proposal 的安全模式,有 4 个框,只需要选择一种即可。我们使用 Pre-g2-3des-md5. 意为 IKE DH Group2 IKE 加密使用 3DES IKE 认证使用 MD5 。对端设备需要做同样设置。其他如下图所示勾选即可。


2、  建立AutoKey IkE
***s AutoKey IKE ,建立一个新的 autokey ike
操作之前需要建立两个地址池,分别为本地内网 IP 池、对端内网 IP 池。
Objects Address List ,在 Untrust (非信任)区域新建一个 IP
地址名称可以随意写,最好起一个有明确意义的。 IP 地址和掩码这里写的是 192.168.0.0/16 ,也可以写 192.168.0.0/255.255.0.0 ;区域是 Untrust 。同样方法再设置一个对端的 IP192.168.30.0/24
之所以这么设置,是和我们公司的网络架构有关的,新办公区域使用192.168.30.x的IP段,老办公区域是192.168.0/1/2/3/4/5.0这些网段,为了让他们通信,老办公区域的IP段就是192.168.0.0/16.如何设置IP,主要还是根据架构需要。
 
地址设置好后返回 IKE ,进行设置,这时新建 IKE 的时候就可以选择之前设置的网关( Tengda11F )了。
继续点高级,进行后续操作。设置 Phase 2 Proposal 的安全为 g2-esp-3des-md5 ,它表示 ipsec 加密使用 esp-3des ipsec 数据认证使用 MD5 。之所以这样选择是部分 *** 设备会将这个作为默认值。之下的 IP 地址和掩码也根据地址池的相关信息来填写。

3、  建立***规则
Policies 下建立 *** 规则。方向为 trust Untrust 。也就是可信区域到非可信区域,在别的防火墙里,差不多就是内网到外网方向的规则。
源地址为远端地址、目的地址为本地地址。动作选择 Tunnel(就是***通道) *** 选择之前建立的相应 IKE 一定要勾选 Modify Matching Bidrectional *** Policy 。这表示同样建立一条反方向的 *** 规则。可以节省手动选择的时间。
4、  建立路由。
因为公司是双线路接入的网络环境,需要单独增
加一条路由。如果你们的环境是单线接入,那么不用做这条路由。他的作用就是指明***从哪条线路过去。
Network Routing Destination
新增的路由如下设置。 IP 地址填写对端的内网 IP 和范围。 Next hop 使用网关,接口选 3 (光环) ,IP 地址填写 203.x.x.129 ,这个地址是公司飞塔设备的网关。由于公司网络环境特殊,因此必须指定这条路由。
 
5、  对端飞鱼星设置
如下图所示开启 IPSEC 的站点到站点功能。
 
在列表中新建一条 *** ,根据图示内容填写。这些内容在 Juniper 上已经有所体现。
 
 
6、  检查是否通信
在飞鱼星和 Juniper ***s Monitor Status 上均可正常查看到 *** 的连接状态,只要两端连接方式和密钥一致,就可以通信成功。事实上哪怕这里显示不通也无所谓,因为网络和防火墙等的缘故,这个链接不见得就是可靠的。最稳妥的方法还是两边的机器互相用 内网地址访问一下。能访问,才算活干完。
 
 
weixin_33737134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于VMWare的IPSec综合实验设计
07-24
IPSec 是互联网的基础安全协议。建立 IPSec 安全通道之前,对等体之间需要进行身份认证。IPSec 身份认证的传统实验是通过“预共享密钥”的方式来进行的。设计了两个更通用的 IPSec 身份认证实验:“基于证书”和“基于Kerberos 协议”。而基于虚拟机平台的实验具有更方便、更经济的优点。此外本实验还涉及到了 Windows 平台上各种安全设置,如活动目录、DNS 服务器、DHCP 服务器,防火墙、证书颁发中心 CA 等,具有很强的综合性。
juniper ××× 建立
weixin_33672109的博客
09-16 142
Juniper防火墙的建立IPsec ××× Juniper的防火墙基本都集成了×××功能,×××功能是企业网络非常常用的功能,建立×××后可以确保数据传输的安全性。这里就介绍一下Juniper防火墙配置两端都是固定IP的IPsec ×××的步骤,关于IPs...
Juniper,将野蛮进行到底
weixin_33989058的博客
04-08 123
IKE的协商模式 在RFC2409(TheInternetKeyExchange)中规定,IKE第一阶段的协商可以采用两种模式:主模式(MainMode)和野蛮模式(AggressiveMode)。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的Diffie-Hellman共享密钥...
juniper防火墙基于路由的IPsec ***配置
weixin_33958366的博客
05-23 669
一、环境说明北京公司需要和上海分公司建立安全通信的×××,便于北京总公司与上海分公司资源共享安全。需建立两条子网通道规划地址如下:北京总公司地址规划:外网接口地址:218.23.23.23/24内部VLAN地址:10.0.0.0/24 10.0.1.0/24 上海分公司地址规划:外网接口地址:218.241.241.23/24内部VLAN地址:172.173.0.0...
juniper-ipsec *** web及cli配置
weixin_33774883的博客
02-10 325
基于tunnel口的×××配置名词:tunnel口:虚拟接口Ike阶段:ipsec ***的第一阶段,两台设备互联地址协商Ipsec阶段:加密感兴趣流,即内部通讯的数据建立tunnel口,配置ip地址(非必需),对端也许要配置,此处不截图。配置ike阶段,填写对端的公网地址,并且给ike取个名字,对端与这边配置相同,ip地址都是填写对方的公网ip选择高级----1共享密钥,两...
fortigate与juniper_IPSEC配置手册.docx
06-23
FortiGate 与Juniper 配置标准/FortiGate 与Juniper 配置标准
通信与网络中的Juniper新款路由器面向IPTV应用
11-29
Juniper网络公司的T、M和E系列路由器将让位给MX系列路由器,后者专门为采用以太网集合的运营商进行设计,用于互联网协议电视(IPTV)这样的高带宽通信。MX系列的第一款产品MX960提供了960Gbps的总带宽,它依赖一种新的...
通信与网络中的Juniper推新款10GbE路由器适配卡
11-11
瞻博网络(Juniper Networks)推出首款内建于T1600核心路由器的100GbE超高速以太网络路由器适配卡,能大幅增加每一链路的容量,让服务供货商和资料中心可藉此减少网络所需的接口数量,并大幅简化拓朴结构(topologies)...
Cisco配置迁移到Juniper设备配置指南
06-30
本资源是指导将Cisco设备的配置对比转换成Juniper设备的配置。对于熟悉思科的工程师,而又想学习Juniper产品的同学来讲,这是一本基本的入门指南,两者对比参考,事半功倍。
通信与网络中的Juniper增强核心功能提高IPTV传输能力
12-08
新功能包括Liquid LSP,能够让第三方视频服务平台与SDX-300及Juniper路由器通信,选择用户与信息源之间的最佳路径,提高网络效率及视频质量。Liquid LSP功能还支持快速失效恢复功能(Fast Failover),可在几分之...
Juniper_ipsec--Cli 基于策略的ipsec
qq_43331152的博客
09-28 590
基于策略的 SITE TO SITE IPSEC 基于策略的 IPSec 与基于路由的 ipsec 相比,无需创建 TUNNEL 接口,也不用创建到对端的路由,ipsec 是绑定到策略上的 在 CLI 管理方式中的相关配置 在 SRX210A 上的配置: set security ike policy aike mode main set security ike policy aike prop...
Juniper SRX300系列 —— 防火墙IPSec VPN配置详解
最新发布
茉清语
09-01 1152
上一章节已详细讲解了防火墙的基础配置及dmz相关配置,在实际项目实践中往往离不开VPN的使用。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置
qq_43416206的博客
04-09 726
Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基于策略的 VPN。 站点间(Site-to-Site)的 VPN 是 IPSec VPN 的典型应用,这里我们介绍两种站点间基于策略 VPN 的实现方式:站点两端都具备静态公网 IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网 IP 地址。
Netscreen 50防火墙×××配置方法
weixin_34415923的博客
11-12 240
Netscreen 50防火墙×××配置方法 一、通道的配置 1、初始化防火墙(请参照下图) ...
点对点基于策略×××.自动密钥IKE
weixin_34284188的博客
04-01 112
实验环境: 公司游戏上线,需要搭建一条×××通道供认证与计费系统对不同地区内部通信,还有日常维护服务器也是通过×××连接.从此达到一个安全加密的环境 解决方案:采用Juniper netscreen SSG140-SB自动×××功能来解决这个问题,由于要架设很多点,设置几乎都一样,就以上海机房与长春机房做个范例 步骤如下: 1. 定义Trust与U...
MD5、3DES加密
王延侠的专栏
11-27 1728
 Md5加密是不可编译的一种加密文件;而3DES是可加密,可解密的另一种加密文件。今天就这两种加密方面贴出点代码供大家参考,说实话,3DES的加密不是我自己写的,是我从网上找的,然后修改过的。具体谁的博客,真的很不好意思,我给忘了,再找就找不到了。 首先看一下Main方法 Main方法 package com.test; /*   * 当前文件:Test .java   * 作者:王延侠   */
JUNIPER搭建站点到站点IPSec*** 丢包问题解决方案
weixin_34405332的博客
08-30 1030
背景:公司办公区到租赁机房之间搭建的是一条IPSEC×××,分别是在两边的防火墙设备上搭建的,办公区这边使用的是飞塔防火墙,机房防火墙为juniper防火墙,搭建过程可以参考之前的帖子。之前搭建完成后测试没有问题,一直使用到现在,但昨天晚上公司同事突然说,方法机房网络慢,ping包存在丢包的情况,丢包率大概在1%-2%之间,并且没有规律可言。解决办法:1、重启了公司这边的飞塔...
Juniper-SSG-策略模式的IPSEC-***之配置终结篇
weixin_34375233的博客
04-17 814
Juniper-SSG,Site to Stie的ipsec-***在国内应用是非常广的,毕竟在07-10年算是国内防火墙中比较出彩又讨网工喜欢的系列。所以今天再次重新梳理一次IPSEC-×××的web配置方法,温故而知新,可以为师矣。为什么标题写的是,策略模式的×××。对,ipsec-***也分路由模式和策略模式。俩者有哪些不同的地方呢?其实这个和TCP/IP的理论挂钩了俩...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值