正文共:1555 字 23 图,预估阅读时间:2 分钟
我们前面分别配置了基于策略的IPsec VPN(Policy-Based IPsec VPNs)的WEB配置方式(配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式))和CLI配置方式(配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式))。正如之前所说,对于基于策略的IPsec VPN,每个隧道都需要单独的SA对,所以可能比使用基于路由的VPN(Route-Based IPsec VPNs)更耗费资源。
如果你想在多个远程站点之间配置VPN时,我建议使用基于路由的VPN,这种方式可以提供与基于策略的VPN相同的功能,但只有一组IKE SA和IPsec SA在起作用,能节省系统资源。基于路由的VPN同样可以配置多个安全策略来调节通过两个站点之间的单个VPN隧道的流量,但这里的策略指的是目标地址,而不是VPN隧道了。
今天,我们介绍一下另外一种基于路由的IPsec VPN。
还是使用两台vSRX设备,将带外管理口连接到管理网***,分别配置IP地址;再将两台设备的业务口ge-0/0/0互联,并配置互联接口地址,如下图所示:
首先配置vSRX1,这次,安全隧道接口(st0.x)就有实际作用了,可以将隧道接口绑定到指定的VPN隧道,这样,在系统查找路由表转发时,就可以将流量转发到VPN隧道。
在“***work→Connectivity→Interfaces”页面,选中st0接口,点击右上方的“Create”并选择“Logical Interface”进入逻辑接口创建页面。
在配置界面,指定逻辑组为0,安全域选择trust,指定IPv4地址为10.12.1.1/24,点击“OK”完成添加。
安全隧道接口st0.0支持IPv4和IPv6双栈,还自己分配了一个链路本地地址。
然后在“***work→Routing→Static Routing”页面,添加一条静态路由,目的网段是vSRX2的子网,下一跳选择安全隧道接口st0.0。
接下来,在“***work→VPN→IPsec VPN”页面,我们点击列表上方的“Create VPN”,选择“Site to Site”,表示IPSec VPN。
在创建Site to Site VPN页面,主要分为3部分:上方为VPN的基本信息(名称、路由模式、IKE认证方式、是否自动创建防火墙策略),中间是对等体配置(左侧为对端设备配置、右侧为本端设备配置),下方为高级配置(用于指定IKE和IPsec的算法等)。
如图所示,指定VPN的名称,路由模式选择“Static Routing”(静态路由),认证模式选择“Pre-shared Key”,启用自动创建防火墙策略。
然后点击左侧的Remote Gateway图标进入对端设备配置页面。
配置IKE标识为IPv4地址,与对端设备的IP地址相同,不开启NAT穿越;下方Protected ***works用于配置对端的子网信息,用的是之前创建好的24位子网网段,因为是基于路由的,也可以选择any;配置完成后,点击“OK”确认配置。
然后点击右侧的Local Gateway图标进入本端设备配置页面。
和对端配置保持一致,配置IKE标识为IPv4地址,使用接口的IP地址,不开启NAT穿越;选择出接口;隧道接口默认带出了创建好的st0.0;下方Protected ***works用于配置本端的子网信息,同样选择之前创建好的24位子网网段,因为是基于路由的,也可以选择any。
配置完成的网关示意图如下所示:
接下来,我们看一下IKE和IPsec的高级配置。
按需调整相关配置,本次暂不作调整,如果跨厂商对接时注意调整相关参数。
最后返回页面右上角,点击“Save”保存配置。
点击“View Configuration Changes”确认要下发的配置,最后点击“***mit”提交配置变更。
同样的,我们参考vSRX1配置配置好vSRX2,页面状态如下:
可以看到,配置完成之后,IKE的状态已经是UP了;然后我们到“Monitor→***work→IPsec VPN”查看IPsec VPN的状态监控。
可以看到和对端网关相关的所有状态。
还有协议参数相关的信息,拓扑此处显示的是点到点或HUB&SPOKE。可以展示的信息比较多,我们可以点击右上角的三个点,选择“Show Hide Columns”根据需要进行筛选。
点击列表上方的“IPsec Statistics”,选择“Selected IPsec Statistics”可以查看选中对端的统计信息。
因为IPsec使用的ESP协议,所以只有ESP统计,AH统计为0,暂时没有错误。
当然,也可以在命令行查看相关状态信息。
查看IKE SA信息。
show security ike security-associations查看IPsec SA信息。
show security ipsec security-associations可以看到,现在还是有两个SA,组成了一个SA对。我们试一下给每端增加一个网段,再测试一下。
现在如果是基于策略的IPsec VPN,应该有4个SA对,我们看看实际情况。
还是只有一个,确实比基于策略的IPsec VPN更节省资源。
查看IPsec统计信息。
show security ipsec statistics注意,使用命令行查看需要使用编号的index进行筛选,可以在IPsec SA中查看。
都配置过之后,有个神奇的现象,我们回到IPsec VPN配置页面,点击对端网关时,可以看到两个实际通信的子网被添加进来了,之前使用的11对象组被移除了。
而在本端网关部分,下方配置保护网段的部分不见了,而这部分在开始配置的时候是必填项。
既然如此,为什么不能在路由类型选择“Static Routing”时,就自动把限制调整过来呢?
长按二维码
关注我们吧
配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)
配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)
Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发
将Juniper虚拟防火墙vSRX导入EVE-NG
将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试
10.1.1.0/31这个地址到底能不能用?31位长度的掩码是怎么回事?
终于成功了!用EVE-NG导入的设备可以做PBR了!
CentOS 7配置Bonding网卡绑定
H3C交换机S6850配置M-LAG基本功能
H3C交换机S6850配置M-LAG三层转发
MX250笔记本安装Pytorch、CUDA和cuDNN
复制成功!GTX1050Ti换版本安装Pytorch、CUDA和cuDNN
成了!Tesla M4+Windows 10+Anaconda+CUDA 11.8+cuDNN+Python 3.11
CentOS 7.9安装Tesla M4驱动、CUDA和cuDNN
使用8条命令即可完成的VPN配置!CentOS快速配置WireGuard全互联组网
配置Windows和Linux之间的WireGuard对接
