正文共:1444 字 18 图,预估阅读时间:2 分钟
关于IPsec VPN,我们已经有一个合集了(IPsec VPN)。之前接触比较多的是H3C的IPsec VPN,后来接触的厂家多了,才发现大家的模型或者叫法还是存在一些差异的。比如今天我们要配置的Juniper的IPsec VPN,分为Policy-Based IPsec VPNs(基于策略的VPN)和Route-Based IPsec VPNs(基于路由的VPN)。
通过查看配置,我发现之前H3C的配置方式基本上属于基于策略的VPN(采用IKE野蛮模式建立保护IPv4报文的IPsec隧道),特点就是要有感兴趣流,也可以称为安全策略,用于明确指定互通的业务网段,两个端点之间的IPsec VPN隧道在策略本身中指定,并为匹配策略的传输流量执行策略操作。每个策略都会与对端创建一个单独的IPsec安全联盟(security association,SA),每个SA都被视为单独的VPN隧道。VPN的配置与安全策略相对独立,就像H3C配置中引用ACL那样。
接下来,我们了解一下Juniper基于策略的VPN的配置方法。
实验背景基于上篇实验(Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发),已经实现两台设备下联子网的互通。
在“Network→VPN→IPsec VPN”页面,我们点击列表上方的“Create VPN”,选择“Site to Site”,站点之间的表示IPSec VPN,像Client VPN这种客户端VPN代指SSL VPN,不过国外现在SSL VPN用的也少了。
在创建Site to Site VPN页面,主要分为3部分:上方为VPN的基本信息(名称、路由模式、IKE认证方式、是否自动创建防火墙策略),中间是对等体配置(左侧为对端设备配置、右侧为本端设备配置),下方为高级配置(用于指定IKE和IPsec的算法等)。
如图所示,指定VPN的名称,路由模式选择“Traffic Selector”,认证模式选择“Pre-shared Key”,启用自动创建防火墙策略。
然后点击左侧的Remote Gateway图标进入对端设备配置页面。
配置IKE标识为IPv4地址,与对端设备的IP地址相同,不开启NAT穿越;下方Protected networks用于配置对端的子网信息,比较尴尬的事竟然只能配置32位的主机,不能配置子网;配置完成后,点击“OK”确认配置。
然后点击右侧的Local Gateway图标进入本端设备配置页面。
和对端配置保持一致,配置IKE标识为IPv4地址,使用接口的IP地址,不开启NAT穿越;选择出接口;下方Protected networks用于配置本端的子网信息,同样只能配置32位的主机,不能配置子网,本段子网和对端子网组合成为SA。虽然是基于策略的VPN,但还是要添加一个隧道接口;点击Tunnel Interface后面的Add,进入创建隧道接口界面。
配置比较简单,同样是选择逻辑组和安全域即可,点击“OK”返回本端网关配置页面,再点击“OK”完成配置。
配置完成的网关示意图如下所示:
接下来,我们看一下IKE和IPsec的高级配置。
按需调整相关配置,本次暂不作调整,如果跨厂商对接时注意调整相关参数。
最后返回页面顶端,点击“Save”保存配置。
点击“View Configuration Changes”查看要下发的配置,以下为IKE部分,包含页面顶部的基本信息、中间的网关配置和底部的高级配置。
IPsec配置部分,主要包含两端的子网信息和下方的高级配置。
以下为创建IPsec VPN引入的相关配置,包含地址簿、安全域和相关策略配置、隧道接口等等。
最后点击“Commit”提交配置变更。
同样的,我们参考本端配置配置好vSRX1,页面状态如下:
可以看到,配置完成之后,IKE的状态已经是UP了;然后我们到“Monitor→Network→IPsec VPN”查看IPsec VPN的状态监控。
可以看到和对端网关相关的所有状态。
还有协议参数相关的信息,拓扑此处显示的是点到点或HUB&SPOKE。可以展示的信息比较多,我们可以点击右上角的三个点,选择“Show Hide Columns”根据需要进行筛选。
点击列表上方的“IPsec Statistics”,选择“Selected IPsec Statistics”可以查看选中对端的统计信息。
因为IPsec使用的ESP协议,所以只有ESP统计,AH统计为0,暂时没有错误。
当然,也可以在命令行查看相关状态信息。
查看IKE SA信息。
show security ike security-associations
查看IPsec SA信息。
show security ipsec security-associations
可以看到,针对一条流的两个方向还生成了两个SA,组成一个SA对;说明每个隧道都需要单独的SA对,所以使用基于策略的IPsec VPN可能比使用基于路由的VPN更耗费资源。如果你想在多个远程站点之间配置VPN时,我建议使用基于路由的VPN。基于路由的VPN可以提供与基于策略的VPN相同的功能,但能节省系统资源。
查看IPsec统计信息。
show security ipsec statistics
注意,使用命令行查看需要使用编号的index进行筛选,可以在IPsec SA中查看。
看着复杂,其实还是很简单的,都是标准的IPSec配置,你学废了吗?
长按二维码
关注我们吧
Juniper虚拟防火墙vSRX部署初体验
将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试
将Juniper虚拟防火墙vSRX导入EVE-NG
Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发
L2TP访问失败?快看看是不是NAT网关的ALG搞的鬼
L2TP over IPsec复杂吗?有点!所以建议你看看这篇文章
使用Python脚本实现SSH登录设备
手撸一个自动搭建openVPN服务器的SHELL脚本
地址重叠时,用户如何通过NAT访问对端IP网络?
VPP配置指南:基于IKEv2的IPsec VPN
网络之路28:二层链路聚合
添加E1000网卡进行测试,只有VMXNET3性能的四分之一
CentOS 7配置Bonding网卡绑定
轻轻松松达到1.8 Gbps,果然HCL还是搭配高档电脑更好使
H3C交换机S6850配置M-LAG三层转发
Windows Server调整策略实现999999个远程用户用时登录