Juniper 防火墙的建立 IPsec VPN
Juniper 的防火墙基本都集成了 VPN 功能,VPN 功能是企业网络非常常用的功能,建立 VPN 后可以确保数据传输
的安全性。
在左侧的菜单栏下 VPN 菜单可以看到配置 VPN 需要用到的一些配置元素。
1、建立 VPN 网关
首先需要在 VPNs > AutoKey Advanced > Gateway 下新建一个 VPN 网关,如下图所示,
这个界面下我已经建立了多个 VPN 网关,这台 Juniper 防火墙是放在上海的办公室的,需要和北京的办公室建立一
个 IPsec VPN。
其中“Peer Type”表示 VPN 的类型,Dialup 是拨号 VPN,Dynamic 是一端是动态地址的 VPN,static 是两端都是固
定 IP 的 VPN。
Gateway name 起个容易记得住的名称,因为如果 VPN 多了就分部清是到哪里的 VPN 网关了
Remote gateway 填远端防火墙的外网 IP 地址
Dynamic IP Address 如果对端是 adsl 拨号这样的动态 IP,需要填写远端的 Peer ID,该 Peer ID 需要在远端预设,
名称的自 己随便起,只要网关的 Peer ID 和远端的 Local ID 一样就可以了,关于 local id 的设置在下面介绍。
点击 advanced 进入高级设置:
Preshared Key 这是预设共享密钥,非常重要,VPN 建立时验证使用的,两端要保持一致
local ID 这是用在有一端是动态 IP,也就是给动态 IP 的一端起个名字,这样 IP 地址变了可以根据 local ID 来识别动
态 IP 端得防火墙设备。要与远端防火墙的 peer id 保持一致。
Outgoing Interface 这是指定出口的接口,一半来说是 Untrust 接口,截图是在编辑模式,因此不能修改,在新建模
式是可以 选择接口的。
Security Level 安全等级可以自定义,前提是两边防火墙选择的加密方式要一致,我这边图省事,使用的是默认设
置。 Mode (Initiator) 连接模式我这边选择的是 Aggressive (野蛮模式),这个模式建立 VPN 连接的速度比较快。
接下来的参数全部选择默认就可以了。
2、建立 autokey IKE
建立好 gateway 之后,接下来就可以在 VPNs > AutoKey IKE 下建立一个 AutoKey IKE
VPN Name 随便起,自己分的清就行了
Remote Gateway 选择前面设置的 vpn 网关名称
接下来进入高级设置
高级设置也没什么高级的,只要选择一下 Security Level 二次验证的加密方式就行了
3、建立 VPN Policy
接下来就需要设置一条策略允许 VPN 建立连接访问
在 policy 界面下选择从 Untrust 到 Trust 建立一条心策略
Destination Address 目的地址为本地网段
Action 选择 Tunnel,也就是走 VPN 隧道 Tunnel 选择你建立的 IKE
Modify matching bidirectional VPN policy 打上钩,就是同时建立一条反向策略,允许 VPN 两端互访。
4、建立发起 IPsec VPN 连接及查看状态
这样 IPsec VPN 的一端已经设置好了,再在对端做相同的设置。
VPN 的建立需要有数据通信才会建立,如果两边都是固定 IP,ping 一下对端的内网网关,如果一端是动态 IP 的话
就必须从动 态 IP 端发起连接才能顺利建立 IPsec VPN 的连接。没设置错的话一条 IPsec VPN 就建立起来了。
在 VPNs > Monitor Status 界面下可以看到 VPN 的状态
