正文共：1444 字 18 图，预估阅读时间：2 分钟

关于IPsec VPN，我们已经有一个合集了（IPsec VPN）。之前接触比较多的是H3C的IPsec VPN，后来接触的厂家多了，才发现大家的模型或者叫法还是存在一些差异的。比如今天我们要配置的Juniper的IPsec VPN，分为Policy-Based IPsec VPNs（基于策略的VPN）和Route-Based IPsec VPNs（基于路由的VPN）。

通过查看配置，我发现之前H3C的配置方式基本上属于基于策略的VPN（采用IKE野蛮模式建立保护IPv4报文的IPsec隧道），特点就是要有感兴趣流，也可以称为安全策略，用于明确指定互通的业务网段，两个端点之间的IPsec VPN隧道在策略本身中指定，并为匹配策略的传输流量执行策略操作。每个策略都会与对端创建一个单独的IPsec安全联盟（security association，SA），每个SA都被视为单独的VPN隧道。VPN的配置与安全策略相对独立，就像H3C配置中引用ACL那样。

接下来，我们了解一下Juniper基于策略的VPN的配置方法。

实验背景基于上篇实验（Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发），已经实现两台设备下联子网的互通。

在“Network→VPN→IPsec VPN”页面，我们点击列表上方的“Create VPN”，选择“Site to Site”，站点之间的表示IPSec VPN，像Client VPN这种客户端VPN代指SSL VPN，不过国外现在SSL VPN用的也少了。

在创建Site to Site VPN页面，主要分为3部分：上方为VPN的基本信息（名称、路由模式、IKE认证方式、是否自动创建防火墙策略），中间是对等体配置（左侧为对端设备配置、右侧为本端设备配置），下方为高级配置（用于指定IKE和IPsec的算法等）。

如图所示，指定VPN的名称，路由模式选择“Traffic Selector”，认证模式选择“Pre-shared Key”，启用自动创建防火墙策略。

然后点击左侧的Remote Gateway图标进入对端设备配置页面。

配置IKE标识为IPv4地址，与对端设备的IP地址相同，不开启NAT穿越；下方Protected networks用于配置对端的子网信息，比较尴尬的事竟然只能配置32位的主机，不能配置子网；配置完成后，点击“OK”确认配置。

然后点击右侧的Local Gateway图标进入本端设备配置页面。

和对端配置保持一致，配置IKE标识为IPv4地址，使用接口的IP地址，不开启NAT穿越；选择出接口；下方Protected networks用于配置本端的子网信息，同样只能配置32位的主机，不能配置子网，本段子网和对端子网组合成为SA。虽然是基于策略的VPN，但还是要添加一个隧道接口；点击Tunnel Interface后面的Add，进入创建隧道接口界面。

配置比较简单，同样是选择逻辑组和安全域即可，点击“OK”返回本端网关配置页面，再点击“OK”完成配置。

配置完成的网关示意图如下所示：

接下来，我们看一下IKE和IPsec的高级配置。

按需调整相关配置，本次暂不作调整，如果跨厂商对接时注意调整相关参数。

最后返回页面顶端，点击“Save”保存配置。

点击“View Configuration Changes”查看要下发的配置，以下为IKE部分，包含页面顶部的基本信息、中间的网关配置和底部的高级配置。

IPsec配置部分，主要包含两端的子网信息和下方的高级配置。

以下为创建IPsec VPN引入的相关配置，包含地址簿、安全域和相关策略配置、隧道接口等等。

最后点击“Commit”提交配置变更。

同样的，我们参考本端配置配置好vSRX1，页面状态如下：

可以看到，配置完成之后，IKE的状态已经是UP了；然后我们到“Monitor→Network→IPsec VPN”查看IPsec VPN的状态监控。

可以看到和对端网关相关的所有状态。

还有协议参数相关的信息，拓扑此处显示的是点到点或HUB&SPOKE。可以展示的信息比较多，我们可以点击右上角的三个点，选择“Show Hide Columns”根据需要进行筛选。

点击列表上方的“IPsec Statistics”，选择“Selected IPsec Statistics”可以查看选中对端的统计信息。

因为IPsec使用的ESP协议，所以只有ESP统计，AH统计为0，暂时没有错误。

当然，也可以在命令行查看相关状态信息。

查看IKE SA信息。

show security ike security-associations

查看IPsec SA信息。

show security ipsec security-associations

可以看到，针对一条流的两个方向还生成了两个SA，组成一个SA对；说明每个隧道都需要单独的SA对，所以使用基于策略的IPsec VPN可能比使用基于路由的VPN更耗费资源。如果你想在多个远程站点之间配置VPN时，我建议使用基于路由的VPN。基于路由的VPN可以提供与基于策略的VPN相同的功能，但能节省系统资源。

查看IPsec统计信息。

show security ipsec statistics

注意，使用命令行查看需要使用编号的index进行筛选，可以在IPsec SA中查看。

看着复杂，其实还是很简单的，都是标准的IPSec配置，你学废了吗？

长按二维码
关注我们吧

Juniper虚拟防火墙vSRX部署初体验

将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试

将Juniper虚拟防火墙vSRX导入EVE-NG

Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发

L2TP访问失败？快看看是不是NAT网关的ALG搞的鬼

L2TP over IPsec复杂吗？有点！所以建议你看看这篇文章

使用Python脚本实现SSH登录设备

手撸一个自动搭建openVPN服务器的SHELL脚本

地址重叠时，用户如何通过NAT访问对端IP网络？

VPP配置指南：基于IKEv2的IPsec VPN

网络之路28：二层链路聚合

添加E1000网卡进行测试，只有VMXNET3性能的四分之一

CentOS 7配置Bonding网卡绑定

轻轻松松达到1.8 Gbps，果然HCL还是搭配高档电脑更好使

H3C交换机S6850配置M-LAG三层转发

Windows Server调整策略实现999999个远程用户用时登录