Juniper,将野蛮进行到底

 

IKE 的协商模式

    在RFC2409The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。

    主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了消息的开销。

野蛮模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数,但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制,但可以满足某些特定的网络环境需求。

野蛮模式的作用:

对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA

(以上信息来自于互联网,请尊重版权。)

使用野蛮模式可以快速构建×××,在网上有很多使用华为设备来做野蛮模式的案例,但是Juniper几乎无人问津。本篇,系笔者倾力打造,绝对原创,谢绝一切转载、摘抄、剽窃等侵权行为。接下来,笔者将和您一同领略Juniper那无限的风采。另:为了便于您更好的理解Juniper的配置,笔者分别使用两种方式(命令行与Web方式)进行配置。

Juniper命令行模式配置

实验环境:某公司总部位于北京,分公司位于上海和台湾,现本公司想要实现总部与各个分公司的内网通讯,但是分公司使用的地址是动态IP,因此,需要使用野蛮模式来构建×××

实验拓扑:

 

juniper野蛮模式--ipsec ***_第1张图片

实验设备:

        Juniper防火墙(SSG 5)一台

        Juniper 防火墙(NS 25)一台

        华为三层交换机(S3526)一台

实验步骤:

       1.配置三层交换机 

juniper野蛮模式--ipsec ***_第2张图片  

 

juniper野蛮模式--ipsec ***_第3张图片

       2.配置上海防火墙 

juniper野蛮模式--ipsec ***_第4张图片  

 

juniper野蛮模式--ipsec ***_第5张图片  

 

juniper野蛮模式--ipsec ***_第6张图片  

 

juniper野蛮模式--ipsec ***_第7张图片  

 

juniper野蛮模式--ipsec ***_第8张图片  

 

juniper野蛮模式--ipsec ***_第9张图片

       3.配置台湾防火墙 

juniper野蛮模式--ipsec ***_第10张图片  

 

juniper野蛮模式--ipsec ***_第11张图片  

 

juniper野蛮模式--ipsec ***_第12张图片  

 

juniper野蛮模式--ipsec ***_第13张图片  

 

juniper野蛮模式--ipsec ***_第14张图片  

 

juniper野蛮模式--ipsec ***_第15张图片

       4.配置北京防火墙 

juniper野蛮模式--ipsec ***_第16张图片  

 

juniper野蛮模式--ipsec ***_第17张图片  

 

juniper野蛮模式--ipsec ***_第18张图片  

 

juniper野蛮模式--ipsec ***_第19张图片  

 

juniper野蛮模式--ipsec ***_第20张图片  

 

juniper野蛮模式--ipsec ***_第21张图片  

 

juniper野蛮模式--ipsec ***_第22张图片

       5.使用上海PC进行测试 

juniper野蛮模式--ipsec ***_第23张图片   

       6.使用台湾PC进行测试

juniper野蛮模式--ipsec ***_第24张图片

 

Juniper 浏览器配置模式

提前声明:1.为了节省时间和空间,笔者只是进行北京和台湾的配置,北京和上海的配置与此类似,笔者不再额外讲述。

          2.此次在各分公司防火墙上使用的虽然是静态的地址,但是笔者配置的模式依然是野蛮模式,因此,对实验结果毫无影响。

实验环境:某公司总部位于北京,分公司位于上海和台湾,现本公司想要实现总部与各个分公司的内网通讯,但是分公司使用的地址是动态IP,因此,需要使用野蛮模式来构建×××

实验拓扑:

juniper野蛮模式--ipsec ***_第25张图片

实验设备:

        Juniper防火墙(SSG 5)一台

        Juniper 防火墙(NS 25)一台

        华为三层交换机(S3526)一台

实验步骤:

       1.配置三层交换机 

juniper野蛮模式--ipsec ***_第26张图片

       2.配置台湾防火墙 

juniper野蛮模式--ipsec ***_第27张图片 

 

juniper野蛮模式--ipsec ***_第28张图片 

 

juniper野蛮模式--ipsec ***_第29张图片 

 

juniper野蛮模式--ipsec ***_第30张图片 

 

juniper野蛮模式--ipsec ***_第31张图片 

 

juniper野蛮模式--ipsec ***_第32张图片 

 

juniper野蛮模式--ipsec ***_第33张图片 

 

 

 

juniper野蛮模式--ipsec ***_第34张图片 

 

juniper野蛮模式--ipsec ***_第35张图片 

 

 

 

juniper野蛮模式--ipsec ***_第36张图片 

 

juniper野蛮模式--ipsec ***_第37张图片 

 

juniper野蛮模式--ipsec ***_第38张图片 

 

juniper野蛮模式--ipsec ***_第39张图片 

 

juniper野蛮模式--ipsec ***_第40张图片

       3.配置北京防火墙

 

juniper野蛮模式--ipsec ***_第41张图片 

 

juniper野蛮模式--ipsec ***_第42张图片 

 

juniper野蛮模式--ipsec ***_第43张图片 

 

juniper野蛮模式--ipsec ***_第44张图片 

 

juniper野蛮模式--ipsec ***_第45张图片 

 

juniper野蛮模式--ipsec ***_第46张图片 

 

juniper野蛮模式--ipsec ***_第47张图片 

 

 

juniper野蛮模式--ipsec ***_第48张图片

 

 

juniper野蛮模式--ipsec ***_第49张图片 

 

 

 

juniper野蛮模式--ipsec ***_第50张图片 

 

juniper野蛮模式--ipsec ***_第51张图片 

 

juniper野蛮模式--ipsec ***_第52张图片 

 

juniper野蛮模式--ipsec ***_第53张图片 

 

juniper野蛮模式--ipsec ***_第54张图片 

 

juniper野蛮模式--ipsec ***_第55张图片

 

       4.再次配置上海和北京防火墙

    上海和北京之间配置与台湾和北京配置类似,笔者进行省略。

       5.使用上海PC进行测试 

juniper野蛮模式--ipsec ***_第56张图片

       6.使用台湾PC进行测试 

juniper野蛮模式--ipsec ***_第57张图片

总结:

命令行配置步骤:

分公司配置:

1.基本配置(IP地址、网关等)

2.配置各个地址段

3.配置Gateway(远端静态地址、本地ID、野蛮模式、密钥、加密等)

4.配置×××(使用定义的Gateway

5.配置策略(依据地址段进行控制、转入通道、使用定义的×××

总公司配置:

1.基本配置(IP地址、网关等)

2.配置各个地址段

3.配置Gateway(远端动态地址、邻居ID、野蛮模式、密钥、加密等)

4.配置×××(使用定义的Gateway

5.配置策略(依据地址段进行控制、转入通道、使用定义的×××

浏览器配置:

分公司配置:

1.基本配置(IP地址、网关等)

2.配置Gateway(远端静态地址、本地ID、野蛮模式、密钥、加密等)

3.配置Auto IKE(定义***,使用使用定义的Gateway

4.配置Policies(依据地址段进行控制、转入通道、使用定义的×××

总公司配置:

1.基本配置(IP地址、网关等)

2配置Gateway(远端动态地址、邻居ID、野蛮模式、密钥、加密等)

3配置Auto IKE(定义***,使用使用定义的Gateway

4配置Policies(依据地址段进行控制、转入通道、使用定义的×××