配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)

关于IPsec VPN,我们已经有一个合集了(IPsec VPN)。之前接触比较多的是H3C的IPsec VPN,后来接触的厂家多了,才发现大家的模型或者叫法还是存在一些差异的。比如今天我们要配置的Juniper的IPsec VPN,分为Policy-Based IPsec VPNs(基于策略的VPN)和Route-Based IPsec VPNs(基于路由的VPN)。

通过查看配置,我发现之前H3C的配置方式基本上属于基于策略的VPN(采用IKE野蛮模式建立保护IPv4报文的IPsec隧道),特点就是要有感兴趣流,也可以称为安全策略,用于明确指定互通的业务网段,两个端点之间的IPsec VPN隧道在策略本身中指定,并为匹配策略的传输流量执行策略操作。每个策略都会与对端创建一个单独的IPsec安全联盟(security association,SA),每个SA都被视为单独的VPN隧道。VPN的配置与安全策略相对独立,就像H3C配置中引用ACL那样。

接下来,我们了解一下Juniper基于策略的VPN的配置方法。

实验背景基于上篇实验(Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发),已经实现两台设备下联子网的互通。

在“Network→VPN→IPsec VPN”页面,我们点击列表上方的“Create VPN”,选择“Site to Site”,站点之间的表示IPSec VPN,像Client VPN这种客户端VPN代指SSL VPN,不过国外现在SSL VPN用的也少了。

图片

在创建Site to Site VPN页面,主要分为3部分:上方为VPN的基本信息(名称、路由模式、IKE认证方式、是否自动创建防火墙策略),中间是对等体配置(左侧为对端设备配置、右侧为本端设备配置),下方为高级配置(用于指定IKE和IPsec的算法等)。

如图所示,指定VPN的名称,路由模式选择“Traffic Selector”,认证模式选择“Pre-shared Key”,启用自动创建防火墙策略。

然后点击左侧的Remote Gateway图标进入对端设备配置页面。

配置IKE标识为IPv4地址,与对端设备的IP地址相同,不开启NAT穿越;下方Protected networks用于配置对端的子网信息,比较尴尬的事竟然只能配置32位的主机,不能配置子网;配置完成后,点击“OK”确认配置。

然后点击右侧的Local Gateway图标进入本端设备配置页面。

和对端配置保持一致,配置IKE标识为IPv4地址,使用接口的IP地址,不开启NAT穿越;选择出接口;下方Protected networks用于配置本端的子网信息,同样只能配置32位的主机,不能配置子网,本段子网和对端子网组合成为SA。虽然是基于策略的VPN,但还是要添加一个隧道接口;点击Tunnel Interface后面的Add,进入创建隧道接口界面。

配置比较简单,同样是选择逻辑组和安全域即可,点击“OK”返回本端网关配置页面,再点击“OK”完成配置。

配置完成的网关示意图如下所示:

接下来,我们看一下IKE和IPsec的高级配置。

按需调整相关配置,本次暂不作调整,如果跨厂商对接时注意调整相关参数。

最后返回页面顶端,点击“Save”保存配置。

点击“View Configuration Changes”查看要下发的配置,以下为IKE部分,包含页面顶部的基本信息、中间的网关配置和底部的高级配置。

IPsec配置部分,主要包含两端的子网信息和下方的高级配置。

以下为创建IPsec VPN引入的相关配置,包含地址簿、安全域和相关策略配置、隧道接口等等。

最后点击“Commit”提交配置变更。

同样的,我们参考本端配置配置好vSRX1,页面状态如下:

可以看到,配置完成之后,IKE的状态已经是UP了;然后我们到“Monitor→Network→IPsec VPN”查看IPsec VPN的状态监控。

可以看到和对端网关相关的所有状态。

还有协议参数相关的信息,拓扑此处显示的是点到点或HUB&SPOKE。可以展示的信息比较多,我们可以点击右上角的三个点,选择“Show Hide Columns”根据需要进行筛选。

点击列表上方的“IPsec Statistics”,选择“Selected IPsec Statistics”可以查看选中对端的统计信息。

因为IPsec使用的ESP协议,所以只有ESP统计,AH统计为0,暂时没有错误。

当然,也可以在命令行查看相关状态信息。

查看IKE SA信息。

show security ike security-associations

查看IPsec SA信息。

show security ipsec security-associations

可以看到,针对一条流的两个方向还生成了两个SA,组成一个SA对;说明每个隧道都需要单独的SA对,所以使用基于策略的IPsec VPN可能比使用基于路由的VPN更耗费资源。如果你想在多个远程站点之间配置VPN时,我建议使用基于路由的VPN。基于路由的VPN可以提供与基于策略的VPN相同的功能,但能节省系统资源。

查看IPsec统计信息。

show security ipsec statistics

注意,使用命令行查看需要使用编号的index进行筛选,可以在IPsec SA中查看。

看着复杂,其实还是很简单的,都是标准的IPSec配置,你学废了吗?

阅读原文


作者简介: H3C认证网络工程师(H3CNE)一枚,已经考取软考高级网络规划师,还在继续努力学习技术,争取早日成为复合型工程师!欢迎关注微信公众号:铁军哥

声明:文中观点不代表本站立场。本文传送门:https://eyangzhen.com/392824.html

联系我们
联系我们
分享本页
返回顶部