配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)
正文共:1666 字 16 图,预估阅读时间:2 分钟
通过前面几次实验,我们已经掌握了如何通过WEB页面配置基于策略的IPsec VPN,包括配置流量口(将Juniper虚拟防火墙vSRX导入EVE-NG)、配置路由转发(IPv6静态路由配置)、配置IPsec VPN(配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)),但前提是带外管理口要在命令行进行配置(将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试),那如果我们想直接在命令行完成所有呢?
今天我们就用上次的实验拓扑,用命令行配置一下。
回顾一下,我们在完成配置查看变更时的格式如下:
保存之后的配置格式如下:
security {
ike {
proposal IPsec {
description "Juniper IPsec VPN";
authentication-method pre-shared-keys;
dh-group group19;
encryption-algorithm aes-256-gcm;
lifetime-seconds 28800;
}
policy IPsec {
reauth-frequency 0;
description "Juniper IPsec VPN";
proposals IPsec;
pre-shared-key ascii-text "$9$B5EISexNb4oGhSs4oJHktu01cyKM8"; ## SECRET-DATA
}
gateway IPsec {
ike-policy IPsec;
address 12.1.1.1;
dead-peer-detection {
optimized;
interval 10;
threshold 5;
}
local-identity inet 12.1.1.2;
remote-identity inet 12.1.1.1;
external-interface ge-0/0/0;
local-address 12.1.1.2;
version v2-only;
fragmentation {
size 576;
}
}
}
}与展示的格式一致,这种配置乍一看和飞塔的配置格式差不多,但是展示效果比飞塔稍微好一些,飞塔一展示就大几千行的配置让人看的头疼,这种仅展示人为添加的配置还好。
像这种格式的edit命令配置可以跟模块对应起来,我感觉比较适合一个模块要调整多个参数的情况。
如果要批量刷配置,可能像我们前面用的那种set命令更合适一些,本文将主要是用这种配置样式。
1、配置系统管理
登录设备命令行,配置设备名称和root账户密码,开启root账户的SSH远程登录,并配置管理口IP地址。
cli
configure
set system host-name vSRX1
set system root-authentication plain-text-password
set system services ssh root-login allow
set interfaces fxp0 unit 0 family inet address 192.168.1.75/24
commit
2、配置流量接口及转发路由
配置互联接口ge-0/0/0、内网接口ge-0/0/1,同时创建一个安全隧道接口(secure tunnel interface,st)st0备用;为去往对端的流量添加静态路由。
set interfaces ge-0/0/0 unit 0 family inet address 12.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 11.1.1.1/24
set interfaces st0 unit 0 family inet
set routing-options static route 22.1.1.0/24 next-hop 12.1.1.2
commit
3、配置接口加入到安全域
将逻辑接口ge-0/0/0.0、ge-0/0/1.0和st0.0都加入到trust安全域,配置trust安全域的策略为允许所有流量和服务。
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone trust interfaces ge-0/0/1.0
set security zones security-zone trust interfaces st0.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
commit
此时,两个子网之间已经可以通过路由互通。
4、创建地址组对象及安全策略
创建两个地址组11和22,分别定义为两端的子网;在策略配置中,为了省事,配置匹配所有源地址、所有目的地址、所有应用,执行动作为允许。
set security address-book global address 11 11.1.1.0/24
set security address-book global address 22 22.1.1.0/24
set security policies from-zone trust to-zone trust policy default-permit match source-address any
set security policies from-zone trust to-zone trust policy default-permit match destination-address any
set security policies from-zone trust to-zone trust policy default-permit match application any
set security policies from-zone trust to-zone trust policy default-permit then permit
commit
5、配置一阶段IKE策略
配置IKE提议,认证方式为预共享密钥,DH组、加密算法使用和页面侧的默认配置相同;配置IKE策略,默认使用主模式,引用IKE提议ike,并配置预共享密钥;配置IKE网关信息,需要包含本端和对端网关配置,以及IKE版本等信息。
set security ike proposal ike authentication-method pre-shared-keys
set security ike proposal ike dh-group group19
set security ike proposal ike encryption-algorithm aes-256-gcm
set security ike policy ike proposals ike
set security ike policy ike pre-shared-key ascii-text qweasd123
set security ike gateway gw address 12.1.1.2
set security ike gateway gw remote-identity inet 12.1.1.2
set security ike gateway gw external-interface ge-0/0/0
set security ike gateway gw local-address 12.1.1.1
set security ike gateway gw local-identity inet 12.1.1.1
set security ike gateway gw version v2-only
set security ike gateway gw ike-policy ike
commit
6、配置二阶段IPsec策略
配置IPsec提议,指定加密协议为ESP,并指定加密算法;配置IPsec策略,引用IPsec提议,配置PFS使用group19;配置VPN,指定IKE网关信息和IPsec策略,绑定隧道接口,指定流量策略;最后配置隧道立即协商。
set security ipsec proposal ipsec protocol esp
set security ipsec proposal ipsec encryption-algorithm aes-256-gcm
set security ipsec policy ipsec proposals ipsec
set security ipsec policy ipsec perfect-forward-secrecy keys group19
set security ipsec ipsec ike gateway gw
set security ipsec ipsec ike ipsec-policy ipsec
set security ipsec ipsec bind-interface st0.0
set security ipsec ipsec traffic-selector ts-1 local-ip 11.1.1.0/24
set security ipsec ipsec traffic-selector ts-1 remote-ip 22.1.1.0/24
set security ipsec ipsec establish-tunnels immediately
commit
验证配置
查看IKE SA信息。
show security ike security-associations
可以看到,虽然没有配置IKE的认证算法,但是不影响双方进行协商;而且页面也没有进行配置的地方,只有在命令行可以配置。
查看IPsec SA信息。
show security ipsec security-associations
可以看到,同样针对一条流的两个方向生成了一个SA对;同样没有配置认证算法,不影响IPsec协商,并且也是只能在命令行进行配置;基于命令行配置时,可以配置子网网段,而在页面只能配置主机。但是最后发现,前面配置的地址组对象在配置流量选择器时没有用到,好尴尬!
查看IPsec统计信息。
show security ipsec statistics
注意,如果有多个IPsec SA,则需要通过指定index编号进行筛选,可以在IPsec SA中查看。
接下来,让我们去页面看一眼展示是否正常。
可以看到,协商成功之后,链路的颜色也变成绿色的了。再看一眼监控信息。
展示正常,没有问题。
看一眼地址组的问题。
左边是配置的地址组,有名称和地址信息;右边是底层配置的地址段,没有名称,也无法选择已有对象,前后端配置不一致。
总结
1、和大多数厂商一样,vSRX在命令行配置IPsec VPN能实现更完整的功能配置,虽然配置效率和直观性不如WEB页面,但命令行配置完整性和效果更胜一筹;
2、命令行配置有多种配置方式,将展示的信息逐层级连接在一块,前面加一个set即可实现配置,还支持脚本形式刷配置;
3、地址组对象配置了但是没用上,怀疑是设计问题,因为我发现官方的配置指导中也有这个情况,为啥没改正呢?
长按二维码
关注我们吧
配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)
Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发
将Juniper虚拟防火墙vSRX导入EVE-NG
将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试
ESXi的超线程状态为“已禁用”,是谁动了我的服务器?
Windows部署TensorFlow后识别GPU失败,原因是啥?
地址重叠时,用户如何通过NAT访问对端IP网络?
仅操作一台设备,如何实现本地访问另一个相同网段的私网?
同一个问题,Gemini、ChatGPT、Copilot、通义千问和文心一言会怎么答?
网络之路28:二层链路聚合
CentOS 7配置Bonding网卡绑定
H3C交换机S6850配置M-LAG基本功能
H3C交换机S6850配置M-LAG三层转发
Windows Server调整策略实现999999个远程用户用时登录
【请勿模仿】一个小实验命令竟然超过1600行