IKE 的协商模式

    在RFC2409The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。

    主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了消息的开销。

野蛮模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数,但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制,但可以满足某些特定的网络环境需求。

野蛮模式的作用:

对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA

(以上信息来自于互联网,请尊重版权。)

使用野蛮模式可以快速构建***,在网上有很多使用华为设备来做野蛮模式的案例,但是Juniper几乎无人问津。本篇,系笔者倾力打造,绝对原创,谢绝一切转载、摘抄、剽窃等侵权行为。接下来,笔者将和您一同领略Juniper那无限的风采。另:为了便于您更好的理解Juniper的配置,笔者分别使用两种方式(命令行与Web方式)进行配置。

Juniper命令行模式配置

实验环境:某公司总部位于北京,分公司位于上海和台湾,现本公司想要实现总部与各个分公司的内网通讯,但是分公司使用的地址是动态IP,因此,需要使用野蛮模式来构建***

实验拓扑:

 

实验设备:

        Juniper防火墙(SSG 5)一台

        Juniper 防火墙(NS 25)一台

        华为三层交换机(S3526)一台

实验步骤:

       1.配置三层交换机 

  

 

       2.配置上海防火墙 

  

 

  

 

  

 

  

 

  

 

       3.配置台湾防火墙 

  

 

  

 

  

 

  

 

  

 

       4.配置北京防火墙 

  

 

  

 

  

 

  

 

  

 

  

 

       5.使用上海PC进行测试 

   

       6.使用台湾PC进行测试

 

Juniper 浏览器配置模式

提前声明:1.为了节省时间和空间,笔者只是进行北京和台湾的配置,北京和上海的配置与此类似,笔者不再额外讲述。

          2.此次在各分公司防火墙上使用的虽然是静态的地址,但是笔者配置的模式依然是野蛮模式,因此,对实验结果毫无影响。

实验环境:某公司总部位于北京,分公司位于上海和台湾,现本公司想要实现总部与各个分公司的内网通讯,但是分公司使用的地址是动态IP,因此,需要使用野蛮模式来构建***

实验拓扑:

实验设备:

        Juniper防火墙(SSG 5)一台

        Juniper 防火墙(NS 25)一台

        华为三层交换机(S3526)一台

实验步骤:

       1.配置三层交换机 

       2.配置台湾防火墙 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

       3.配置北京防火墙

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

       4.再次配置上海和北京防火墙

    上海和北京之间配置与台湾和北京配置类似,笔者进行省略。

       5.使用上海PC进行测试 

       6.使用台湾PC进行测试 

总结:

命令行配置步骤:

分公司配置:

1.基本配置(IP地址、网关等)

2.配置各个地址段

3.配置Gateway(远端静态地址、本地ID、野蛮模式、密钥、加密等)

4.配置***(使用定义的Gateway

5.配置策略(依据地址段进行控制、转入通道、使用定义的***

总公司配置:

1.基本配置(IP地址、网关等)

2.配置各个地址段

3.配置Gateway(远端动态地址、邻居ID、野蛮模式、密钥、加密等)

4.配置***(使用定义的Gateway

5.配置策略(依据地址段进行控制、转入通道、使用定义的***

浏览器配置:

分公司配置:

1.基本配置(IP地址、网关等)

2.配置Gateway(远端静态地址、本地ID、野蛮模式、密钥、加密等)

3.配置Auto IKE(定义***,使用使用定义的Gateway

4.配置Policies(依据地址段进行控制、转入通道、使用定义的***

总公司配置:

1.基本配置(IP地址、网关等)

2配置Gateway(远端动态地址、邻居ID、野蛮模式、密钥、加密等)

3配置Auto IKE(定义***,使用使用定义的Gateway

4配置Policies(依据地址段进行控制、转入通道、使用定义的***