配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)

dd59230caa2008430ca6a5e9f5a326a6.gif

正文共:1444 字 18 图,预估阅读时间:2 分钟

关于IPsec VPN,我们已经有一个合集了IPsec VPN。之前接触比较多的是H3C的IPsec VPN,后来接触的厂家多了,才发现大家的模型或者叫法还是存在一些差异的。比如今天我们要配置的Juniper的IPsec VPN,分为Policy-Based IPsec VPNs(基于策略的VPN)Route-Based IPsec VPNs(基于路由的VPN)

通过查看配置,我发现之前H3C的配置方式基本上属于基于策略的VPN采用IKE野蛮模式建立保护IPv4报文的IPsec隧道,特点就是要有感兴趣流,也可以称为安全策略,用于明确指定互通的业务网段,两个端点之间的IPsec VPN隧道在策略本身中指定,并为匹配策略的传输流量执行策略操作。每个策略都会与对端创建一个单独的IPsec安全联盟(security association,SA),每个SA都被视为单独的VPN隧道。VPN的配置与安全策略相对独立,就像H3C配置中引用ACL那样。

接下来,我们了解一下Juniper基于策略的VPN的配置方法。

实验背景基于上篇实验Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发,已经实现两台设备下联子网的互通。

“Network→VPN→IPsec VPN”页面,我们点击列表上方的“Create VPN”,选择“Site to Site”,站点之间的表示IPSec VPN,像Client VPN这种客户端VPN代指SSL VPN,不过国外现在SSL VPN用的也少了。

01b67e53409975a8690c665cd4f910bf.png

在创建Site to Site VPN页面,主要分为3部分:上方为VPN的基本信息(名称、路由模式、IKE认证方式、是否自动创建防火墙策略),中间是对等体配置(左侧为对端设备配置、右侧为本端设备配置),下方为高级配置(用于指定IKE和IPsec的算法等)。

5b434a66aa8b58aac369105a9e34112d.png

如图所示,指定VPN的名称,路由模式选择“Traffic Selector”,认证模式选择“Pre-shared Key”,启用自动创建防火墙策略。

然后点击左侧的Remote Gateway图标进入对端设备配置页面。

2bec442b12cbb66e7e9caa97f893a9e5.png

配置IKE标识为IPv4地址,与对端设备的IP地址相同,不开启NAT穿越;下方Protected networks用于配置对端的子网信息,比较尴尬的事竟然只能配置32位的主机,不能配置子网;配置完成后,点击“OK”确认配置。

然后点击右侧的Local Gateway图标进入本端设备配置页面。

91572c556002e14e2a2d73ac970d9b35.png

和对端配置保持一致,配置IKE标识为IPv4地址,使用接口的IP地址,不开启NAT穿越;选择出接口;下方Protected networks用于配置本端的子网信息,同样只能配置32位的主机,不能配置子网,本段子网和对端子网组合成为SA。虽然是基于策略的VPN,但还是要添加一个隧道接口;点击Tunnel Interface后面的Add,进入创建隧道接口界面。

e5446cf80e7aa3465a8981972e44a044.png

配置比较简单,同样是选择逻辑组和安全域即可,点击“OK”返回本端网关配置页面,再点击“OK”完成配置。

配置完成的网关示意图如下所示:

b494c345a6953425c58e9d3fbabc2d79.png

接下来,我们看一下IKE和IPsec的高级配置。

739143298820e274b6310b7ebfec1017.png

按需调整相关配置,本次暂不作调整,如果跨厂商对接时注意调整相关参数。

最后返回页面顶端,点击“Save”保存配置。

点击“View Configuration Changes”查看要下发的配置,以下为IKE部分,包含页面顶部的基本信息、中间的网关配置和底部的高级配置。

b4f0bbd3d7ee983042e760e35dd78a1b.png

IPsec配置部分,主要包含两端的子网信息和下方的高级配置。

cf7182ecae7f4da018839d9d59e66c1d.png

以下为创建IPsec VPN引入的相关配置,包含地址簿、安全域和相关策略配置、隧道接口等等。

a28af607fd72ca507a897143bc978e87.png

最后点击“Commit”提交配置变更。

同样的,我们参考本端配置配置好vSRX1,页面状态如下:

9f2dbd20f40572f32d701ad7d2f46c45.png

可以看到,配置完成之后,IKE的状态已经是UP了;然后我们到“Monitor→Network→IPsec VPN”查看IPsec VPN的状态监控。

e47ccc8fb5da1fcdfada1b0370ee8430.png

可以看到和对端网关相关的所有状态。

aa5eb2c2afa8b26d8c8ba387e089ccfc.png

还有协议参数相关的信息,拓扑此处显示的是点到点或HUB&SPOKE。可以展示的信息比较多,我们可以点击右上角的三个点,选择“Show Hide Columns”根据需要进行筛选。

de620096d292393012de0573c3b1cac0.png

点击列表上方的“IPsec Statistics”,选择“Selected IPsec Statistics”可以查看选中对端的统计信息。

a9a34432e52d400de271a3f45597ea98.png

因为IPsec使用的ESP协议,所以只有ESP统计,AH统计为0,暂时没有错误。

当然,也可以在命令行查看相关状态信息。

查看IKE SA信息。

show security ike security-associations

4589b93c3a3590078ca0871fd3068306.png

查看IPsec SA信息。

show security ipsec security-associations

d336e09ee35272ba78d9497f7d17be5b.png

可以看到,针对一条流的两个方向还生成了两个SA,组成一个SA对;说明每个隧道都需要单独的SA对,所以使用基于策略的IPsec VPN可能比使用基于路由的VPN更耗费资源。如果你想在多个远程站点之间配置VPN时,我建议使用基于路由的VPN。基于路由的VPN可以提供与基于策略的VPN相同的功能,但能节省系统资源。

查看IPsec统计信息。

show security ipsec statistics

5771cf6b0717eeb715058fa57859e36a.png

注意,使用命令行查看需要使用编号的index进行筛选,可以在IPsec SA中查看。

看着复杂,其实还是很简单的,都是标准的IPSec配置,你学废了吗?

9ffb1c4b0e756708ca14818bb1238aae.gif

长按二维码
关注我们吧

9842c3b7cd709f3bd5564f2065c44814.jpeg

298bf215b7629054185d77ab4107fa01.png

Juniper虚拟防火墙vSRX部署初体验

将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试

将Juniper虚拟防火墙vSRX导入EVE-NG

Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发

L2TP访问失败?快看看是不是NAT网关的ALG搞的鬼

L2TP over IPsec复杂吗?有点!所以建议你看看这篇文章

使用Python脚本实现SSH登录设备

手撸一个自动搭建openVPN服务器的SHELL脚本

地址重叠时,用户如何通过NAT访问对端IP网络?

VPP配置指南:基于IKEv2的IPsec VPN

网络之路28:二层链路聚合

添加E1000网卡进行测试,只有VMXNET3性能的四分之一

CentOS 7配置Bonding网卡绑定

轻轻松松达到1.8 Gbps,果然HCL还是搭配高档电脑更好使

H3C交换机S6850配置M-LAG三层转发

Windows Server调整策略实现999999个远程用户用时登录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/683303.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据卷的常见命令,如何创建Nginx容器,修改nginx容器内的html目录下的index.html文件

数据卷 什么是数据卷 数据卷(volume)是一个虚拟目录,是容器内目录与宿主机**目录**之间映射的桥梁。 以Nginx为例,我们知道Nginx中有两个关键的目录: html:放置一些静态资源 conf:放置配置文…

文心一言4.0 VS ChatGPT4.0哪家强?!每月60块的文心一言4.0值得开吗?

大家好,我是木易,一个持续关注AI领域的互联网技术产品经理,国内Top2本科,美国Top10 CS研究生,MBA。我坚信AI是普通人变强的“外挂”,所以创建了“AI信息Gap”这个公众号,专注于分享AI全维度知识…

AI短视频一键换脸小程序源码/带流量主

微信云开发AI一键视频换脸小程序源码是由极客二改后发布的,小程序增加了广告控制,插屏广告,激励广告和原生广告,由于采用了微信云开发没有后台,所以不需要域名和服务器也可以正常搭建使用,所有的配置都可以…

C++,stl,函数对象,谓词,内建函数对象

目录 1.函数对象使用 2.谓词 1.一元谓词 2.二元谓词 3.内建函数对象 1.算术仿函数 2.关系仿函数 3.逻辑仿函数 1.函数对象使用 #include<bits/stdc.h> using namespace std;class add { public:int operator()(int v1,int v2){return v1 v2;} };class print { p…

从C向C++8——多态

一.多态基础 面向对象程序设计语言有封装、继承和多态三种机制&#xff0c;这三种机制能够有效提高程序的可读性、可扩充性和可重用性。 “多态&#xff08;polymorphism&#xff09;”指的是同一名字的事物可以完成不同的功能。多态可以分为编译时的多态和运行时的多态。前者主…

Unity(单元测试)在STM32上的移植与应用

概述 Unity Test是一个为C构建的单元测试框架。本文基于STM32F407为基础&#xff0c;完全使用STM32CubeIDE进行开发&#xff0c;移植和简单使用Unity。 单片机型号&#xff1a;STM32F407VET6 软件&#xff1a;STM32CubeIDE Version: 1.14.1 Unity Version&#xff1a;2.…

儿童护眼台灯哪个值得推荐?推荐专业的儿童护眼台灯

现在的孩子很多都存在视力问题&#xff0c;而且年龄也越来越早&#xff0c;不少还为上学的孩子都早已戴上小眼镜。虽说这可能存在家族近视遗传的可能性&#xff0c;不过更多的还是后天导致的。长时间玩耍电子产品、缺乏运动、不良用眼习惯、不合适的光线等等都是导致孩子近视的…

【JavaScript 教程】

JavaScript 教程 JavaScript 在线实例为什么学习 JavaScript? JavaScript 是 Web 的编程语言。 所有现代的 HTML 页面都可以使用 JavaScript。 JavaScript 非常容易学。 JavaScript 在线实例 <!DOCTYPE html> <html> <head> <meta charset"utf-8&q…

23款奔驰S400商务版没有后排电动座椅那改装一套跟选装有区别吗

改装的后排电动座椅通常提供以下功能&#xff1a; 电动调节&#xff1a;座椅可以通过按钮或控制面板进行前后调节&#xff0c;以适应乘客的腿部空间需求。 靠背角度调节&#xff1a;乘客可以通过电动调节功能来调整座椅的靠背角度&#xff0c;以获得更舒适的坐姿。 座椅倾斜调…

一文讲透Python函数中的形式参数和实际参数

函数参数包括形式参数和实际参数&#xff0c;简称形参和实参。其中形式参数即是在定义函数时函数后面括号中的参数列表&#xff08;parameterlist&#xff09;&#xff0c;比如上一个帖子的示例中的width, length&#xff1b;实际参数则是调用函数时函数后面括号中的参数值&…

【HTML】交友软件上照片的遮罩是如何做的

笑谈 我不知道大家有没有在夜深人静的时候感受到孤苦难耐&#xff0c;&#x1f436;。于是就去下了一些交友软件来排遣寂寞。可惜的是&#xff0c;有些交友软件真不够意思&#xff0c;连一些漂亮小姐姐的图片都要进行遮罩&#xff0c;完全不考虑兄弟们的感受,&#x1f620;。所…

Go教程-什么是编程?

什么是编程&#xff0c;这是个有趣的话题。 编程是什么 编程&#xff0c;字面意思即编写程序&#xff0c;即通过既定的关键字&#xff0c;来描述你的想法&#xff0c;并让计算机的各个部件按照你的想法来做事。 这里计算机的各个部件通常来说&#xff0c;指的是CPU和IO设备。…

解决Windows更新后无法启动的十种办法,总有一种适合你

你可能已经更新了操作系统以修复错误或使用最新功能。但是,如果Windows在更新后无法启动呢? 如果你面临这样的问题,主要是由于安装文件中的错误或你的系统与最新更新不兼容。此外,损坏的MBR或驱动程序也会阻止电脑启动。 不管是什么原因,本文将用十种简单的技术来指导你…

算法沉淀——队列+宽度优先搜索(BFS)(leetcode真题剖析)

算法沉淀——队列宽度优先搜索&#xff08;BFS&#xff09; 01.N 叉树的层序遍历02.二叉树的锯齿形层序遍历03.二叉树最大宽度04.在每个树行中找最大值 队列 宽度优先搜索算法&#xff08;Queue BFS&#xff09;是一种常用于图的遍历的算法&#xff0c;特别适用于求解最短路径…

Ps:统计

Ps菜单&#xff1a;文件/脚本/统计 Scripts/Statistics 统计 Statistics脚本命令提供了一种高效的方法来处理和分析大量图像&#xff0c;使用户能够自动执行复杂的图像分析任务&#xff0c;并在多个图像间应用统计学方法。这个功能极大地扩展了 Photoshop 在科学研究、图像编辑…

【单总线与DS18B20总结和代码实现】

单总线介绍与总结 单总线介绍单总线时序图DS18B20的操作流程代码 读温度代码思路代码实现 单总线介绍 单总线应用案例&#xff1a;Ds18B20、温湿度传感器用到的就是这个&#xff0c;这里Ds18B20从当的角色是从机部分&#xff0c;而开发板充当的部分人是主机部分。 Ds18B20内部结…

docker (三)-开箱即用常用命令

一 docker架构 拉取镜像仓库中的镜像到本地&#xff0c;镜像运行产生一个容器 registry 镜像仓库 registry可以理解为镜像仓库&#xff0c;用于保存docker image。 Docker Hub 是docker官方的镜像仓库&#xff0c;docker命令默认从docker hub中拉取镜像。我们也可以搭建自己…

【数据结构】二叉树的三种遍历

目录 一、数据结构 二、二叉树 三、如何遍历二叉树 一、数据结构 数据结构是计算机科学中用于组织和存储数据的方式。它定义了数据元素之间的关系以及对数据元素的操作。常见的数据结构包括数组、链表、栈、队列、树、图等。 数组是一种线性数据结构&#xff0c;它使用连续…

18 19 SPI接口的74HC595驱动数码管实验

1. 串行移位寄存器原理&#xff08;以四个移位寄存器为例&#xff09; 1. 通过移位寄存器实现串转并&#xff1a;一个数据输入端口可得到四位并行数据。 通过给data输送0101数据&#xff0c;那么在经过四个时钟周期后&#xff0c;与data相连的四个寄存器的输出端口得到了0101…

【Linux】环境变量及相关指令

一、环境变量的基本概念 其实&#xff0c;我们早就听说过环境变量&#xff0c;比如在学习 JAVA / Python 的时候&#xff0c;会在 Windows 上配置环境变量&#xff1a; 环境变量到底是什么呢&#xff1f; 环境变量&#xff08;environment variables&#xff09;一般是指在操作…