配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)

f1094b5bc7b666f1dacea29ecf9cd164.gif

正文共:1666 字 16 图,预估阅读时间:2 分钟

通过前面几次实验,我们已经掌握了如何通过WEB页面配置基于策略的IPsec VPN,包括配置流量口将Juniper虚拟防火墙vSRX导入EVE-NG、配置路由转发IPv6静态路由配置、配置IPsec VPN配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式),但前提是带外管理口要在命令行进行配置将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试,那如果我们想直接在命令行完成所有呢?

今天我们就用上次的实验拓扑,用命令行配置一下。

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第1张图片

回顾一下,我们在完成配置查看变更时的格式如下:

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第2张图片

保存之后的配置格式如下:

security {
  ike {
    proposal IPsec {
      description "Juniper IPsec VPN";
      authentication-method pre-shared-keys;
      dh-group group19;
      encryption-algorithm aes-256-gcm;
      lifetime-seconds 28800;
    }
    policy IPsec {
      reauth-frequency 0;
      description "Juniper IPsec VPN";
      proposals IPsec;
      pre-shared-key ascii-text "$9$B5EISexNb4oGhSs4oJHktu01cyKM8"; ## SECRET-DATA
    }
    gateway IPsec {
      ike-policy IPsec;
      address 12.1.1.1;
      dead-peer-detection {
        optimized;
        interval 10;
        threshold 5;
      }
      local-identity inet 12.1.1.2;
      remote-identity inet 12.1.1.1;
      external-interface ge-0/0/0;
      local-address 12.1.1.2;
      version v2-only;
      fragmentation {
        size 576;
      }
    }
  }
}

与展示的格式一致,这种配置乍一看和飞塔的配置格式差不多,但是展示效果比飞塔稍微好一些,飞塔一展示就大几千行的配置让人看的头疼,这种仅展示人为添加的配置还好。

像这种格式的edit命令配置可以跟模块对应起来,我感觉比较适合一个模块要调整多个参数的情况。

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第3张图片

如果要批量刷配置,可能像我们前面用的那种set命令更合适一些,本文将主要是用这种配置样式。

b5a530d365470d9894afcad234e8ce7e.png

1、配置系统管理

登录设备命令行,配置设备名称和root账户密码,开启root账户的SSH远程登录,并配置管理口IP地址。

cli
configure
set system host-name vSRX1
set system root-authentication plain-text-password
set system services ssh root-login allow
set interfaces fxp0 unit 0 family inet address 192.168.1.75/24
commit

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第4张图片

415eb2569629cb8451172079babbb61e.png

2、配置流量接口及转发路由

配置互联接口ge-0/0/0、内网接口ge-0/0/1,同时创建一个安全隧道接口(secure tunnel interface,st)st0备用;为去往对端的流量添加静态路由。

set interfaces ge-0/0/0 unit 0 family inet address 12.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 11.1.1.1/24
set interfaces st0 unit 0 family inet
set routing-options static route 22.1.1.0/24 next-hop 12.1.1.2
commit

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第5张图片

757da8ac6092f0dfb79a6c7b950609b6.png

3、配置接口加入到安全域

将逻辑接口ge-0/0/0.0、ge-0/0/1.0和st0.0都加入到trust安全域,配置trust安全域的策略为允许所有流量和服务。

set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone trust interfaces ge-0/0/1.0
set security zones security-zone trust interfaces st0.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
commit

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第6张图片

此时,两个子网之间已经可以通过路由互通。

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第7张图片

ce3912c2b14c6b0d58d5b0b50a7d48ea.png

4、创建地址组对象及安全策略

创建两个地址组11和22,分别定义为两端的子网;在策略配置中,为了省事,配置匹配所有源地址、所有目的地址、所有应用,执行动作为允许。

set security address-book global address 11 11.1.1.0/24
set security address-book global address 22 22.1.1.0/24
set security policies from-zone trust to-zone trust policy default-permit match source-address any
set security policies from-zone trust to-zone trust policy default-permit match destination-address any
set security policies from-zone trust to-zone trust policy default-permit match application any
set security policies from-zone trust to-zone trust policy default-permit then permit
commit

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第8张图片

dcce9c1f74159b72a6d819f2d836ee58.png

5、配置一阶段IKE策略

配置IKE提议,认证方式为预共享密钥,DH组、加密算法使用和页面侧的默认配置相同;配置IKE策略,默认使用主模式,引用IKE提议ike,并配置预共享密钥;配置IKE网关信息,需要包含本端和对端网关配置,以及IKE版本等信息。

set security ike proposal ike authentication-method pre-shared-keys
set security ike proposal ike dh-group group19
set security ike proposal ike encryption-algorithm aes-256-gcm
set security ike policy ike proposals ike
set security ike policy ike pre-shared-key ascii-text qweasd123
set security ike gateway gw address 12.1.1.2
set security ike gateway gw remote-identity inet 12.1.1.2
set security ike gateway gw external-interface ge-0/0/0
set security ike gateway gw local-address 12.1.1.1
set security ike gateway gw local-identity inet 12.1.1.1
set security ike gateway gw version v2-only
set security ike gateway gw ike-policy ike
commit

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第9张图片

a41091cf67fa45c491a0a6b38260df68.png

6、配置二阶段IPsec策略

配置IPsec提议,指定加密协议为ESP,并指定加密算法;配置IPsec策略,引用IPsec提议,配置PFS使用group19;配置VPN,指定IKE网关信息和IPsec策略,绑定隧道接口,指定流量策略;最后配置隧道立即协商。

set security ipsec proposal ipsec protocol esp
set security ipsec proposal ipsec encryption-algorithm aes-256-gcm
set security ipsec policy ipsec proposals ipsec
set security ipsec policy ipsec perfect-forward-secrecy keys group19
set security ipsec  ipsec ike gateway gw
set security ipsec  ipsec ike ipsec-policy ipsec
set security ipsec  ipsec bind-interface st0.0
set security ipsec  ipsec traffic-selector ts-1 local-ip 11.1.1.0/24
set security ipsec  ipsec traffic-selector ts-1 remote-ip 22.1.1.0/24
set security ipsec  ipsec establish-tunnels immediately
commit

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第10张图片

b7495992de798611115e977fe391f517.png

验证配置

4300226b8222e064407559b96b305d91.png

查看IKE SA信息。

show security ike security-associations

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第11张图片

可以看到,虽然没有配置IKE的认证算法,但是不影响双方进行协商;而且页面也没有进行配置的地方,只有在命令行可以配置。

查看IPsec SA信息。

show security ipsec security-associations

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第12张图片

可以看到,同样针对一条流的两个方向生成了一个SA对;同样没有配置认证算法,不影响IPsec协商,并且也是只能在命令行进行配置;基于命令行配置时,可以配置子网网段,而在页面只能配置主机。但是最后发现,前面配置的地址组对象在配置流量选择器时没有用到,好尴尬!

查看IPsec统计信息。

show security ipsec statistics

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第13张图片

注意,如果有多个IPsec SA,则需要通过指定index编号进行筛选,可以在IPsec SA中查看。

接下来,让我们去页面看一眼展示是否正常。

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第14张图片

可以看到,协商成功之后,链路的颜色也变成绿色的了。再看一眼监控信息。

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第15张图片

展示正常,没有问题。

看一眼地址组的问题。

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第16张图片

左边是配置的地址组,有名称和地址信息;右边是底层配置的地址段,没有名称,也无法选择已有对象,前后端配置不一致。

64543f3443bebea9c80b293665fe8542.png

总结

33a802699c2cb6f03b1d4a9a242d1485.png

1、和大多数厂商一样,vSRX在命令行配置IPsec VPN能实现更完整的功能配置,虽然配置效率和直观性不如WEB页面,但命令行配置完整性和效果更胜一筹;

2、命令行配置有多种配置方式,将展示的信息逐层级连接在一块,前面加一个set即可实现配置,还支持脚本形式刷配置;

3、地址组对象配置了但是没用上,怀疑是设计问题,因为我发现官方的配置指导中也有这个情况,为啥没改正呢?

1a64cf7d93245eaa2c2242e977e083d6.gif

长按二维码
关注我们吧

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)_第17张图片

aad79a34c124450a4ac3d01007b1821a.png

配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)

Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发

将Juniper虚拟防火墙vSRX导入EVE-NG

将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试

ESXi的超线程状态为“已禁用”,是谁动了我的服务器?

Windows部署TensorFlow后识别GPU失败,原因是啥?

地址重叠时,用户如何通过NAT访问对端IP网络?

仅操作一台设备,如何实现本地访问另一个相同网段的私网?

同一个问题,Gemini、ChatGPT、Copilot、通义千问和文心一言会怎么答?

网络之路28:二层链路聚合

CentOS 7配置Bonding网卡绑定

H3C交换机S6850配置M-LAG基本功能

H3C交换机S6850配置M-LAG三层转发

Windows Server调整策略实现999999个远程用户用时登录

【请勿模仿】一个小实验命令竟然超过1600行

你可能感兴趣的:(apache,服务器,网络,linux,前端)