小草博客

A-A+

Juniper SRX基于路由的IPSEC VPN

2015年11月26日 站长资讯 暂无评论

由于在实际工作中有时会遇到SRX系列的路由器防火墙模块设备,在网上能到的资料大多也是一些界面文档或者以Netscreen为主的资料,官方资料大部分都是英文的,有时候排错或者配置,真的很头痛;
开两台VmSRX:

SRX1:

第一步:配置IP:

set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24

set interfaces lo0 unit 10 family inetaddress 192.168.10.1/24

set interfaces st0 unit 1 family inetaddress 1.1.1.1/24

第二步:配置地址条目

set security address-book trust address A10192.168.10.0/24

set security address-book trust attach zonetrust

set security address-book untrust addressA20 192.168.20.0/24

set security address-book untrust attachzone untrust

第三步:配置IKE:

set security ike policy abc mode aggressive

set security ike policy abc proposal-setstandard

set security ike policy abc pre-shared-keyascii-text "$9$JZUi.QF/0BEP5BEcyW8ZUj"

set security ike gateway gw1 ike-policy abc

set security ike gateway gw1 address10.247.171.2

set security ike gateway gw1external-interface ge-0/0/0.0

第四步:配置IPSEC

set security ipsec policy aaa proposal-setstandard

set security ipsec vpn vpn1 bind-interfacest0.1

set security ipsec vpn vpn1 ike gateway gw1

set security ipsec vpn vpn1 ikeipsec-policy aaa

set security ipsec vpn vpn1establish-tunnels immediately

第五步:配置NAT:

set security nat source rule-set rsl fromzone trust

set security nat source rule-set rsl tozone untrust

set security nat source rule-set rsl ruler1 match source-address 0.0.0.0/0

set security nat source rule-set rsl ruler1 match destination-address 0.0.0.0/0

set security nat source rule-set rsl ruler1 then source-nat interface

第六步:配置策略

  1. set security policies from-zone trustto-zone untrust policy 3 match source-address A10  
  2. set security policies from-zone trustto-zone untrust policy 3 match destination-address A20  
  3. set security policies from-zone trustto-zone untrust policy 3 match application any  
  4. set security policies from-zone trustto-zone untrust policy 3 then permit  
  5. set security policies from-zone trustto-zone untrust policy 1 match source-address any  
  6.   
  7. set security policies from-zone trustto-zone untrust policy 1 match destination-address any  
  8. set security policies from-zone trustto-zone untrust policy 1 match application any  
  9. set security policies from-zone trustto-zone untrust policy 1 then permit  
  10. set security policies from-zone untrustto-zone trust policy 4 match source-address A20  
  11. set security policies from-zone untrustto-zone trust policy 4 match destination-address A10  
  12. set security policies from-zone untrustto-zone trust policy 4 match application any  
  13. set security policies from-zone untrustto-zone trust policy 4 then permit  
  14. set security policies from-zone untrustto-zone trust policy 2 match source-address any  
  15. set security policies from-zone untrustto-zone trust policy 2 match destination-address any  
  16. set security policies from-zone untrustto-zone trust policy 2 match application any  
  17. set security policies from-zone untrustto-zone trust policy 2 then permit  

第七步:开启相应的系统服务

set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all

set security zones security-zone untrustinterfaces st0.1 host-inbound-traffic system-services all

set security zones security-zone trustinterfaces lo0.10 host-inbound-traffic system-services all

第八步:路由

set routing-options static route192.168.20.0/24 next-hop st0.1

第九步:测试

  1. juniper@SRX1# run show security ikeactive-peer  
  2. Remote Address                      Port     Peer IKE-ID                         XAUTH username                      Assigned IP  
  3. 10.247.171.2                        500      10.247.171.2  
  4. juniper@SRX1# run show security ikesecurity-associations  
  5. Index  State  Initiator cookie  Responder cookie  Mode          Remote Address    
  6. 2186252 UP     68aa002abd20d235  10437397ed758938  Aggressive    10.247.171.2  
  7.   
  8. juniper@SRX1# run show security ipsecsecurity-associations  
  9. Total active tunnels: 1  
  10. ID    Algorithm       SPI     Life:sec/kb  Mon lsys Port  Gateway    
  11. <131073 ESP:3des/sha1 efe41cb5 3431/ unlim   -  root 500   10.247.171.2      
  12. >131073 ESP:3des/sha1 ada231d7 3431/ unlim   -  root 500   10.247.171.2  
  13. juniper@SRX1# run show security ipsecstatistics      
  14. ESP Statistics:  
  15. Encrypted bytes:            31864  
  16. Decrypted bytes:            19300  
  17. Encrypted packets:            236  
  18. Decrypted packets:            231   
  19. AH Statistics:  
  20. Input bytes:                    0  
  21. Output bytes:                   0  
  22. Input packets:                  0  
  23. Output packets:                 0  
  24. Errors:  
  25.  AHauthentication failures: 0, Replay errors: 0  
  26.  ESPauthentication failures: 0, ESP decryption failures: 0  
  27.  Badheaders: 0, Bad trailers: 0  
  28.   
  29. juniper@SRX1# run ping 192.168.20.1 source192.168.10.1  
  30. PING 192.168.20.1 (192.168.20.1): 56 databytes  
  31. 64 bytes from 192.168.20.1: icmp_seq=0ttl=64 time=3.892 ms  
  32. 64 bytes from 192.168.20.1: icmp_seq=1ttl=64 time=4.428 ms  
  33. 64 bytes from 192.168.20.1: icmp_seq=2ttl=64 time=2.309 ms  
  34. 64 bytes from 192.168.20.1: icmp_seq=3ttl=64 time=2.347 ms  
  35. 64 bytes from 192.168.20.1: icmp_seq=4ttl=64 time=2.332 ms  
  36. ^C  
  37. --- 192.168.20.1 ping statistics ---  
  38. 5 packets transmitted, 5 packets received,0% packet loss  
  39. round-trip min/avg/max/stddev =2.309/3.062/4.428/0.913 ms  

交流:1124287125

下面是SRX1的完整体配置:

  1. juniper@SRX1# run show configuration |display set      
  2. set version 12.1X44.4  
  3. set system host-name SRX1  
  4. set system domain-name juniper.net  
  5. set system authentication-order password  
  6. set system root-authenticationencrypted-password "$1$hY6E.7uG$pn0ThmAXMrL2vf7BSLhmG0"  
  7. set system login user juniper uid 2001  
  8. set system login user juniper classsuper-user  
  9. set system login user juniperauthentication encrypted-password"$1$3VlKTGll$5MGwhUdY4BYtY2hILDRc/1"  
  10. set system services ssh protocol-version v2  
  11. set system services telnet  
  12. set system services web-management httpinterface ge-0/0/0.0  
  13. set system services web-management sessionidle-timeout 10  
  14. set system syslog user * any emergency  
  15. set system syslog file messages any any  
  16. set system syslog file messagesauthorization info  
  17. set system syslog file interactive-commandsinteractive-commands any  
  18.   
  19. set system syslog file monitor-log match192.168.159.128  
  20. set system license autoupdate urlhttps://ae1.juniper.net/junos/key_retrieval  
  21. set chassis aggregated-devices ethernetdevice-count 2  
  22. set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24  
  23. set interfaces lo0 unit 10 family inetaddress 192.168.10.1/24  
  24. set interfaces st0 unit 1 family inetaddress 1.1.1.1/24  
  25. set routing-options static route192.168.20.0/24 next-hop st0.1  
  26. set security pki  
  27. set security ike policy abc mode aggressive  
  28. set security ike policy abc proposal-setstandard  
  29. set security ike policy abc pre-shared-keyascii-text "$9$JZUi.QF/0BEP5BEcyW8ZUj"  
  30. set security ike gateway gw1 ike-policy abc  
  31. set security ike gateway gw1 address10.247.171.2  
  32. set security ike gateway gw1external-interface ge-0/0/0.0  
  33. set security ipsec policy aaa proposal-setstandard  
  34. set security ipsec vpn vpn1 bind-interfacest0.1  
  35. set security ipsec vpn vpn1 ike gateway gw1   
  36. set security ipsec vpn vpn1 ikeipsec-policy aaa  
  37. set security ipsec vpn vpn1establish-tunnels immediately  
  38. set security address-book trust address A10192.168.10.0/24  
  39. set security address-book trust attach zonetrust  
  40. set security address-book untrust addressA20 192.168.20.0/24  
  41. set security address-book untrust attachzone untrust  
  42. set security nat source rule-set rsl fromzone trust  
  43. set security nat source rule-set rsl tozone untrust  
  44. set security nat source rule-set rsl ruler1 match source-address 0.0.0.0/0  
  45. set security nat source rule-set rsl ruler1 match destination-address 0.0.0.0/0  
  46. set security nat source rule-set rsl ruler1 then source-nat interface  
  47. set security policies from-zone trustto-zone untrust policy 3 match source-address A10  
  48. set security policies from-zone trustto-zone untrust policy 3 match destination-address A20  
  49. set security policies from-zone trustto-zone untrust policy 3 match application any  
  50. set security policies from-zone trustto-zone untrust policy 3 then permit   
  51. set security policies from-zone trustto-zone untrust policy 1 match source-address any  
  52. set security policies from-zone trustto-zone untrust policy 1 match destination-address any  
  53. set security policies from-zone trustto-zone untrust policy 1 match application any  
  54. set security policies from-zone trustto-zone untrust policy 1 then permit  
  55. set security policies from-zone untrustto-zone trust policy 4 match source-address A20  
  56. set security policies from-zone untrustto-zone trust policy 4 match destination-address A10  
  57. set security policies from-zone untrustto-zone trust policy 4 match application any  
  58. set security policies from-zone untrustto-zone trust policy 4 then permit  
  59. set security policies from-zone untrustto-zone trust policy 2 match source-address any  
  60. set security policies from-zone untrustto-zone trust policy 2 match destination-address any  
  61. set security policies from-zone untrustto-zone trust policy 2 match application any  
  62. set security policies from-zone untrustto-zone trust policy 2 then permit   
  63. set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all  
  64. set security zones security-zone untrustinterfaces st0.1 host-inbound-traffic system-services all  
  65. set security zones security-zone trustinterfaces lo0.10 host-inbound-traffic system-services all  
  66. ese  
标签:

给我留言