2. 程式人生 > >Juniper-SSG-策略模式的IPSEC-VPN

Juniper-SSG-策略模式的IPSEC-VPN

阿新 發佈:2018-12-05

Juniper-SSG-策略模式的IPSEC-VPN之配置終結篇

itPublisher 分享於 2016-04-17

Juniper-SSG,Site to Stie的ipsec-vpn在國內應用是非常廣的,畢竟在07-10年算是國內防火牆中比較出彩又討網工喜歡的系列。所以今天再次重新梳理一次IPSEC-VPN的web配置方法,溫故而知新,可以為師矣。


為什麼標題寫的是,策略模式的VPN。對,ipsec-vpn也分路由模式和策略模式。


倆者有哪些不同的地方呢?其實這個和TCP/IP的理論掛鉤了

倆者ipsec-vpn的實現原理過程解釋:

①基於策略的IPsec VPN:通過防火牆策略將資料丟進VPN隧道

②基於路由的IPsec VPN: 在防火牆上建立虛擬介面tunnel介面,設定到對端的資料丟進這個tunne介面中,再有IPsec VPN進行加密

倆者ipsec-vpn的區別:

①基於策略的IPsce VPN可以再閘道器部署和透明部署的防火牆上建立,基於策略的IPsecvpn建立後,在VPN隧道中僅能傳輸單播資料;

②基於介面的IPsec VPN只能在閘道器模式下施工部署,不可以在透明模式下部署,相對於策略模式IPsec vpn優點在於:基於路由IPsecvpn可在VPN隧道中傳組播應用,拿資歷老大的思科來講,上海和深圳跑了GRE,但在這條隧道上跑的資料均是明文傳輸,無法得到加密。咋破了,比如:GRE over Ipsec VPN。


還有很多不同的地方,我這裡就不一一列舉了,偶爾,複習和回顧往往是最好的學習方法。前面的文章說過很多ipsec-vpn是幹嘛的了,所以今天不再聊理論、應用場景和情懷了。直接上配置!!!


Stie to Stie的配置前提:倆端均是固定IP地址


第一步:Web-UI管理介面中配置VPNS→AutoKey Advanced→Gateway→New

wKioL1cTFRLjuUcNAAAJav--IBs434.png

wKioL1cTFRLDjUatAAAjX1ZWJZU250.png

第二步:定義VPN閘道器名稱、定義“對端VPN裝置公網IP”為本地VPN裝置的閘道器地址,如下圖所示:(IKE版本可選)

wKioL1cTFUOQzdZ7AACa1rhaFO4647.png


第三步:在VPN Gateway的高階(Advanced)部分,定義預共享金鑰、定義相關的VPN隧道協商加密演算法、選擇VPN的發起模式,DPD檢測最好勾選,模式選擇主模式 ,outgoing interface 選擇公網出介面,如下圖所示:

wKioL1cTFXeyFISOAAC3VUwl_w4060.png註釋:

PreshareKey:倆邊金鑰一定要一致

Outgoinginterface:選擇公網出介面

Securitylevel:任意指定對應演算法引數,保證倆端一致即可


第四步:接著配置VPN的AutoKey IKE:VPNS→AutoKey IKE→New,如下圖

wKiom1cTFPqQVfIEAAAT_j9ZLVY945.png

第五步:設定VPN name、Remote Gateway,如下圖所示

wKioL1cTFeKhbHh9AADhDilKYio602.png註釋:

VPN Name:qujun-IKE-2

Remote Gateway: 選擇前面設定的vpn閘道器名稱,Predefined→qujun-testing


第六步:在AutoKey IKE的高階(Advanced)部分定義了VPN的加密演算法(Security Level)

SencurityLevel:User Defined→Custom→Phase 2 Proposal→可以根據個人需要選擇自定義(兩端裝置保持一致即可)如下圖所示:

wKiom1cTFW2wZAHRAACFhB7nb6M629.pngPS:記住勾選VPN-monitor



第七步:可選【如果同款型號或者同產商,這裡無需新增proxyID】若跨產商,這裡就填寫,比如和前面介紹的hillstone對接時候。就需要此項的額外配置,否則隧道無法正常建立起來。

wKiom1cTFayg9LQdAABJm-yQsRo922.pngPS:注意本地和對端的zone選擇。

wKioL1cTFpbhQn7aAAB5Iru7oKs449.png


另:

Hillstone側代理ID在哪裡配置?

wKioL1cTFrOR4R1LAAFgLybfJUY935.png


第八步:建立VPN Policy,trust-untrust、untrust-trust雙向策略新建對應興趣流量,如下圖所示

wKiom1cTFjnwsaNUAADcjLA0jTY630.png


確認後輸出如下:

Trust-Untrust

wKiom1cTFmKxdSvtAACPSoxGMJg676.png

Untrust-trust

wKioL1cTFzzwBWtTAAFohljc8AI030.png


第九步:建立發起IPsec VPN連線及檢視狀態,IPsecVPN的一端已經設定好了,再在對端做相同的設定即可。比較“傻瓜”式的配置,不過相當考驗一個人的認真和細緻。我身邊的小兄弟一直比較粗心“要麼演算法1看成了2、要麼代理ID沒配對、要麼策略掩碼敲錯等等”。總之細心檢查配置


第十步:VPN的建立需要有資料通訊才會建立(這是SSG系列中比較不先進的機制,現在很多產商都優化過了,比如自動觸發,長連線模式等等),如果兩邊都是固定IP,任意一端ping一下對端的內網閘道器,如果一端是動態IP的話就必須從動態IP端發起連線才能順利建立IPsec VPN的連線。


第十一步:在 VPNs > Monitor Status 介面下可以看到VPN的狀態,如下圖展示:

wKioL1cTGImA1-JHAABJKmEMlGk282.png

到這裡,配置過程就全部結束了,說個題外話,目前仍然有很大一部分客戶、企業。不論是總部還是分支都使用SSG做IPSEC。可以看到目前很多網工都不是很喜歡一些國產產商把配置做的複雜等等。比如華三和華為,安全域多了個local。不放行根本沒法玩。所以不斷學習和提升自己的技術能力,往往決定了一個技術員到底有多大技術實力的根本。



本文出自 “Allen在路上-從零到壹” 部落格,轉載請與作者聯絡!

相關推薦

Juniper-SSG-策略模式IPSEC-VPN

Juniper-SSG-策略模式的IPSEC-VPN之配置終結篇 itPublisher 分享於 2016-04-17 Juniper-SSG,Site to Stie的ipsec-vpn在國內應用是非常廣的,畢竟在07-10年算是國內防火牆中比較出彩又討網工喜歡的系列。所以今天再次重

Juniper SSG系列防火墻ScreenOS的IPsec VPN

ipsec vpn juniper screenos ssg 自己之前的手記,Route-Based Site-to-Site VPN, AutoKey IKE2端都是固定IP的BO1是分公司1,HO是總公司BO1# 定義隧道 set interface "tunnel.1" zone "

Juniper SRX IPsec VPN base route CLI

ipsec firewall 建立Tunnelset security zones security-zone untrust interfaces st0.1IPSec 兩個階段Phase1:set security ike proposal to_head authentication-metho

Hillstone 基於策略 ipsec-VPN 配置

防火墻、hillstone、vpn Hillstone 基於策略 ipsec-VPN 配置 本文以web界面對hillstone 進行ipsec-vpn 配置,共有兩種方法。 1.建立隧道首先,登陸hillstone防火墻,點選左側ipsec-vpn,然後點新建;然後在彈出的界面進

juniper防火牆做ipsec vpn必須開放的埠

我們網路環境邊緣常常有防火牆,主要起到隔離網路保護內外網安全,如在邊緣網路MIP一個公網地址給內網的一個VPN裝置,此時為了安全起見需要邊緣網路有選擇性的開放埠或協議,MIP如下: 在做IPSEC VPN時如果必須要開放IKE,對應埠號UDP:500,有時為了穿透N

淺析Juniper IPsec VPN中的traffic selector

Juniper的IPSec VPN中的traffic selector(流量篩選器)主要用於多Proxy-ID的情況下,而且是在基於路由的VPN中才會用到。首先Proxy-ID在協商階段2的時候會被校驗,如果校驗失敗會導致第二階段IPsec VPN建立不起來。預設情況下,基於

設計模式學習總結(八)策略模式(Strategy)

isp 筆記本 override div ont 角色 write stat 通過   策略模式,主要是針對不同的情況采用不同的處理方式。如商場的打折季,不同種類的商品的打折幅度不一,所以針對不同的商品我們就要采用不同的計算方式即策略來進行處理。   一、示例展示:   以

對設計模式的總結之簡單工廠與策略模式

mage 建立 不變 href catch nag 實現類 初步 cti 前言 面向對象編程追求的本質-提高擴展性、可維護性、靈活性和復用性。合理利用面向對象6個原則,能夠很好的達到要求。如何利用好就是至關重要的了,前人總結了23+個設計模式能夠讓初學者更容易

【java設計模式】【行為模式Behavioral Pattern】策略模式Strategy Pattern

java sys algorithm stat 設計模式 log sets ace 行為模式 1 package com.tn.策略模式; 2 3 public class Client { 4 private Strategy strategy; 5

策略模式

new () nal line esp strategy 0.12 cal div namespace StrategyPattern { // 所得稅計算策略 public interface ITaxStragety { dou

策略模式筆記

blog mar 導致 sys rate cut html 實現 ring 定義 策略模式是一個在可以在運行時選擇算法行為的設計模式。 策略模式: 定義了一個算法族 封裝每個算法 族內的算法可以相互替換 此模式讓算法的變化獨立於使用算法的客戶。使用策略模式時

設計模式那點事--策略模式

簡化 cas enter ext font 想要 fonts 對象創建 客戶 概念: 策略模式定義了一系列的算法,分別封裝起來,讓它們之間能夠相互替換。此模式讓算法的變化,不會影響到使用算法的客戶。策略,實質上指的是算法。 樣例

策略模式-Strategy

images cnblogs ron 技術 算法實現 str .com pan 策略模式 策略模式:它將可變的部分從程序中抽象分離成算法接口,在該接口下分別封裝一系列算法實現。   它定義了算法家族,分別封裝起來,讓他們之間可以相互替換,此模式讓算法的變化,不會影響到實用算

設計模式策略模式

條件 cti round ces 配置 urn 表單提交 spa 成了 在web項目中,表單的驗證和提交是我們經常開發的功能之一。下面我們來看一下一般情況下我們如何驗證一個用戶的註冊。 需求: 註冊需要用戶名,密碼,手機號碼,郵箱 所有選項不能為空 密碼要長度不能少於8位,

設計模式策略模式&簡單工廠模式

抽象 jsb args watermark amp pri eas 時間 並且 學習設計模式已經有非常長一段時間了。事實上先前已經敲過一遍了,可是老認為沒有學到什麽,認識也不夠深刻,如今趁著重構機房。再又一次來過,也不晚。 事實上在敲了機房之後,看看模式,事實

Javascript設計模式與開發實踐詳解(二:策略模式) http://www.jianshu.com/p/ef53781f6ef2

的人 思想 ram gis pan pro msg have 改變 上一章我們介紹了單例模式及JavaScript惰性單例模式應用這一次我主要介紹策略模式策略模式是定義一系列的算法,把它們一個個封裝起來,並且讓他們可以互相替換。比方說在現實中很多時候也有很多途徑到達同一個

如何在ASA防火墻上實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

C++策略模式

策略 想法 函數接口 易維 例如 www 設計思路 interface con 策略模式: 它定義了算法家族,分別封裝起來,讓它們之間可以相到替換,此模式用算法的變化不會影響到其它的客戶。 此模式還是其實就是我們平常寫的代碼,其實設計模式就是告訴你如

設計模式筆記2:策略模式

把他 客戶端 mage 調用 ges view 優惠 軟件 代碼 1.1 需求   設計一個商場打折計費的軟件,可以實現打折,滿300送100等優惠功能。 1.2 類圖    1.3  實現   我們先把4個計算的類寫出來。 View Code   在寫負責

PHP設計模式-策略模式

行為 一個 文件 ech 策略 something protected this cte <?php//策略模式//將一組特定的算法或行為 封裝成一個類,以適應上下文環境//策略的接口文件 約定策略的行為 針對一種情況 產生具體的策略interface Policy