2024年4月11日发(作者:)

Juniper防火墙IPSec VPN的配置

Juniper所有系列防火墙都支持IPSec VPN,其配置方式有多种,包括:基于策略的

VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用

的VPN模式:基于策略的VPN。

站点间(Site-to-Site)的VPN是IPSec VPN的典型应用,这里我们介绍两种站点间

基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静

态公网IP地址,另一端动态公网IP地址。

4.1、站点间IPSec VPN配置:staic ip-to-staic ip

当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本

相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同。

VPN组网拓扑图:staic ip-to-staic ip

4.1.1、使用Web浏览器方式配置

① 登录防火墙设备,配置防火墙为三层部署模式;

② 定义

Adwanced=>Gateway

VPN第一阶段的相关配置:VPNs=>Autokey

配置VPN gateway部分,定义VPN网关名称、定义“对端VPN设备的公网IP地址”

为本地VPN设备的网关地址、定义预共享密钥、选择发起VPN服务的物理端口;

③ 在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道

协商的加密算法、选择VPN的发起模式;

④ 配置VPN第一阶段完成显示列表如下图;

⑤ 定义VPN第二阶段的相关配置:VPNs=>Autokey IKE

在Autokey IKE部分,选择第一阶段的VPN配置;

⑥ 在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;

⑦ 配置VPN第二阶段完成显示列表如下图;

⑧ 定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;

VPN隧道选择为:刚刚定义的隧道,选择是否设置为双向策略;

4.1.2、使用命令行方式配置

CLI (

东京

)

① 配置接口参数

set interface ethernet1 zone trust