Juniper_SRX_IPSec_VPN配置手册 - 副本

JuniperSRXIPSecVPN配置手册CCIE#37142一、网络拓扑简介总部及各地市分部的Juniper防火墙都设有3个安全区域：Trust、VPN、Internet。都有一条电信线路接入互联网，县级办事处可使用不限厂商，但支持IPSecVPN的设备。总部与各地市分部使用居于点到多点安全隧道接口(ST)技术的IPSecVPN，即类似于mGREoverIPSec的技术，但是配置方式有很大的区别。各地市分部与县级办事处使用IPSecLANtoLANVPN。Juniper把IPSec分为基于路由和基于策略两类，主要的区别在于触发VPN隧道建立的条件不一样，也可以理解为定义感兴趣流的方式不一样。二、配置基于路由的IPSecVPN步骤一：建立逻辑接口st（Secure-Tunnel）的子接口Juniper设备之间起IPSec可以使用ST接口来当做隧道协议，与不同厂商设备使用标准的GRE隧道作为隧道协议。Juniper的ST接口类似于普通路由器上的GRE接口，而在JunOS里面默认会有一个逻辑接口st0（虽然用show显示的是物理接口，但是物理上是看不到这个口的），我们需要做的是在这个接口上创建逻辑子接口，把这个子接口当成Tunnel接口来使用。WEB界面的配置如下图：必填的参数包括子接口编号、所属的安全区域，点对多点需要还需要配置隧道地址并勾选MultiPoint复选框，并且支持自动模式和手动指定。注：自动模式会根据VPN策略里面的绑定命令来调用指定的ST子接口，手动模式需要关联对端隧道地址及VPN策略。命令行格式为：setinterfacesst0unit0multipointsetinterfacesst0unit0familyinetaddress100.1.1.1/24setsecurityzonessecurity-zonevpninterfacesst0.0host-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zonevpninterfacesst0.0host-inbound-trafficprotocolsall步骤二：配置IPSec阶段一JuniperSRX3400中建立IPSec阶段一的IKE阶段分为3步：1、配置IKEPropsal2、配置IKEPolicy3、配置Gateway配置IKEPropsal:里面的参数使用预先定好的参数，Lifetime最好也指定，虽然两端协商后会使用最短的时间。配置IKEPolicy：填入名字策略名，模式使用主模式，Proposal使用UserDefined，并选用上一步定义好的。注：主模式和野蛮模式的区别主要在于交换的消息数据、NAT的支持、对等体标识、协商次数，具体可以谷歌百度。如果在Proposal选用Predefined，则可以省略第一步，只要对端发送的IKE参数是本设备支持的，会自动选用相同的参数协商。然后需要在IKEPolicyOptions中选择验证方法并填入秘钥：配置Gateway：在Juniper中，配置对端IP，出接口的参数，放在的Gateway的配置里面。这里只要填入策略名，选择使用的IKEPolicy，出接口及填入对端的公网地址。命令行格式：setsecurityikeproposalike-proauthentication-methodpre-shared-keyssetsecurityikeproposalike-prodh-groupgroup2setsecurityikeproposalike-proauthentication-algorithmmd5setsecurityikeproposalike-proencryption-algorithmdes-cbcsetsecurityikeproposalike-prolifetime-seconds28800setsecurityikepolicytest-ikemodemainsetsecurityikepolicytest-ikeproposalsike-prosetsecurityikepolicytest-ikepre-shared-keyascii-textJuniper123setsecurityikegatewaytest-gwike-policytest-ikesetsecurityikegatewaytest-gwaddress202.101.2.2setsecurityikegatewaytest-gwexternal-interfacege-0/0/0.0步骤三：配置IPSec阶段二这里和阶段一类似也分为三步进行：1、配置IPSecProposal2、配置IPSecPolicy3、配置AutoKeyVPN配置IPSecProposal这个也没有什么好说的，选定两端预先确定好的参数，Lifetime也明确指定一下。配置IPSecPolicy：这里也和阶段一一样，如果使用Predefined的话，只要对端发送的参数是设备支持的即可以协商成功。配置AutoKeyVPN这里就是配置VPN的策略了，策略里面需要绑定阶段一配置的Gateway，及第一步建立的st0.0，这样VPN就和st0.0关联起来了。命令行：setsecurityipsecproposalvpn-ppprotocolespsetsecurityipsecproposalvpn-ppauthentication-algorithmhmac-md5-96setsecurityipsecproposalvpn-ppencryption-algorithm3des-cbcsetsecurityipsecproposalvpn-pplifetime-seconds3600setsecurityipsecpolicytest-vpn-ppproposalsvpn-ppsetsecurityipsecvpntest-vpnikegatewaytest-gwsetsecurityipsecvpntest-vpnikeipsec-policytest-vpn-ppsetsecurityipsecvpntest-vpnestablish-tunnelsimmediately步骤四：配置静态路由这也是基于路由方式与基于策略不同的步骤，基于策略是不需要添加路由的。添加路由的下一条指向对端隧道地址，这样即等于是定义了感兴趣流量，当数据包到达，查找路由表发现下一跳是st接口时，设备会去匹配对应的IPSecSA。和DMVPN类似，省中心为HUB端，各地市分中心为spoke端，需要由各地市先发数据过来触发IPSecSA的建立，然后中心端有了IPSecSA以后，感兴趣流量的匹配才能查找成功。命令行：setrouting-optionsstaticroute172.16.1.0/24next-hop100.1.1.2步骤五：分中心IPSec配置分中心唯一的差别是建立st子接口时，类型不需要使用点到多点，直接与省中心地址建立点到点隧道即可。建立逻辑子接口st0.0：Multipoint复选框不需要勾选。其余配置与步骤二、步骤三、步骤四一致。配置完以上步骤，VPN即可建立成功，但是如果想要正常通信还需要建立各个区域之间的放行策略，放行策略的建立与基于路由的IPSecVPN关系不大，但是却和基于策略的IPSecVPN紧密相连，所以怎样建立策略将在介绍基于策略的IPSecVPN时做说明。三、配置基于策略的IPSecVPN分中心与各县级联社使用基于策略的IPSecVPN。基于策略的意思是，它的感兴趣流是通过匹配安全策略里源区域与目的区域里的地址簿来确定IPSec的流量，源地址与源区域的地址簿进行匹配，目的地址与目的区域的地址簿进行匹配，匹配成功后调用与安全策略绑定的VPN策略进行IPSec的建立。基于策略的IPSecVPN直接使用IPSec的隧道功能，不需要额外的隧道协议，也就不需要ST及GRE这样的接口做支持。步骤一：配置IPSec阶段一IPSec阶段一的配置与前文的方法一致。步骤二：配置IPSec阶段二阶段二中，不需要把IPSecPolicy与ST0.0逻辑子接口进行绑定，其余步骤一样。如图所示，Bindtotunnelinterface这栏空着。步骤三：配置安全策略要配置安全策略，首先需要在对应的区域里建立地址簿，然后在安全策略里面调用地址，并与对应的VPN策略关联起来。建立地址簿：zone选择与VPN出接口址相同的区域，名字自取，并填入对端的私网网段，如果要加入地址组可以在addresssets中选择。注：该网段通过哪个区域的接口到达即选择哪个区域，即使这个地址段并不在此台防火墙上存在。比如：此例中在分部建立地址簿的时候，建立的是总部的网段。由于安全策略是需要匹配源和目的地的，所以源和目的地的地址都需要在建立。此例子中，以VPN区域与Internet区域中的两个网段进行配置。命令行：setsecurityzonessecurity-zoneinternetaddress-bookaddresstest-address192.168.1.0/24setsecurityzonessecurity-zonevpnaddress-bookaddresstest-hub-address10.1.1.0/24在两个区域中建立地址后即可建立策略。建立安全策略：建立安全策略的时候，可以看到需要选择区域，要注意需要建立两条策略来对应两个方向，即internet区域—》vpn区域一条，vpn区域—》internet区域，只要源和目的区域对调即可，放行的程序里选择any，或者对应的程序。在建立策略的时候，还需要关联VPN策略：即在PermitAction选项卡中，VPN这一栏选择对应的VPN策略。这样，基于策略的VPN即配置完了。命令行：setsecuritypoliciesfrom-zoneinternetto-zonevpnpolicytest-policymatchsource-addresstest-addresssetsecuritypoliciesfrom-zoneinternetto-zonevpnpolicytest-policymatchdestination-addresstest-hub-addresssetsecuritypoliciesfrom-zoneinternetto-zonevpnpolicytest-policymatchapplicationanysetsecuritypoliciesfrom-zoneinternetto-zonevpnpolicytest-policythenpermittunnelipsec-vpntestvpnsetsecuritypoliciesfrom-zonevpnto-zoneinternetpolicypolicy-testmatchsource-addresstest-hub-addresssetsecuritypoliciesfrom-zonevpnto-zoneinternetpolicypolicy-testmatchdestination-addresstest-addresssetsecuritypoliciesfrom-zonevpnto-zoneinternetpolicypolicy-testmatchapplicationanysetsecuritypoliciesfrom-zonevpnto-zoneinternetpolicypolicy-testthenpermittunnelipsec-vpntestvpn