目的:使用IPSEC ×××的方式连接两个办公区域。
设备:Juniper 、飞鱼星V1000非同厂商设备。
起因:新办公区域没有采购网络设备的预算,手头只有一台飞鱼星V1000。起初准备用RouterOS来做,不过购买许可会产生额外费用,因此只能使用手头已经资源来搭建。
本文对于不熟悉Juniper设备的同学有一定的参考意义。Juniper是一个很早做×××和防火墙的厂商,其产品在规则设置这一块非常全面。
注:本文的图片均是高清大图,火狐中右键点击选择查看图片可以看到未压缩的图,360浏览器中需要按住图片,拖动一下,也可以看到原始大图。
1、 建立×××网关
Vpns→AutoKey Advanced→GateWay建立一个新的网关,地址为对端的防火墙地址。
网关地址可以任意填写,最好是填写具有实际意义的说明文字,安全级别使用Custom;网关类型使用固定IP(这种方式适用于使用光纤接入的办公区域),IP地址填写对端防火墙地址,这次所填写的是飞鱼星V1000的外网地址。Preshared Key 填写任意字符作为密钥,对端设置时需要输入同样的内容。由于我们主要拿光环新网做×××的负载,因此Outgoing Interface需要选择Ethemet 3。
点击高级进入下一个设置菜单。选择Phase 1 Proposal的安全模式,有4个框,只需要选择一种即可。我们使用Pre-g2-3des-md5.意为IKE DH Group2 ;IKE加密使用3DES,IKE认证使用MD5。对端设备需要做同样设置。其他如下图所示勾选即可。
2、 建立AutoKey IkE
Vpns→AutoKey IKE,建立一个新的autokey ike。
操作之前需要建立两个地址池,分别为本地内网IP池、对端内网IP池。
Objects→Address→List,在Untrust(非信任)区域新建一个IP。
地址名称可以随意写,最好起一个有明确意义的。IP地址和掩码这里写的是192.168.0.0/16,也可以写192.168.0.0/255.255.0.0;区域是Untrust。同样方法再设置一个对端的IP192.168.30.0/24
之所以这么设置,是和我们公司的网络架构有关的,新办公区域使用192.168.30.x的IP段,老办公区域是192.168.0/1/2/3/4/5.0这些网段,为了让他们通信,老办公区域的IP段就是192.168.0.0/16.如何设置IP,主要还是根据架构需要。
地址设置好后返回IKE,进行设置,这时新建IKE的时候就可以选择之前设置的网关(Tengda11F)了。
继续点高级,进行后续操作。设置Phase 2 Proposal的安全为g2-esp-3des-md5,它表示ipsec加密使用esp-3des;ipsec数据认证使用MD5。之所以这样选择是部分×××设备会将这个作为默认值。之下的IP地址和掩码也根据地址池的相关信息来填写。
3、 建立×××规则
在Policies下建立×××规则。方向为trust到Untrust。也就是可信区域到非可信区域,在别的防火墙里,差不多就是内网到外网方向的规则。
源地址为远端地址、目的地址为本地地址。动作选择Tunnel(就是×××通道),×××选择之前建立的相应IKE。一定要勾选Modify Matching Bidrectional Vpn Policy 。这表示同样建立一条反方向的×××规则。可以节省手动选择的时间。
4、 建立路由。
因为公司是双线路接入的网络环境,需要单独增
加一条路由。如果你们的环境是单线接入,那么不用做这条路由。他的作用就是指明×××从哪条线路过去。
Network→Routing→Destination,
新增的路由如下设置。IP地址填写对端的内网IP和范围。Next hop使用网关,接口选3(光环),IP地址填写203.x.x.129,这个地址是公司飞塔设备的网关。由于公司网络环境特殊,因此必须指定这条路由。
5、 对端飞鱼星设置
如下图所示开启IPSEC的站点到站点功能。
在列表中新建一条×××,根据图示内容填写。这些内容在Juniper上已经有所体现。
、
6、 检查是否通信
在飞鱼星和Juniper的Vpns→Monitor Status上均可正常查看到×××的连接状态,只要两端连接方式和密钥一致,就可以通信成功。事实上哪怕这里显示不通也无所谓,因为网络和防火墙等的缘故,这个链接不见得就是可靠的。最稳妥的方法还是两边的机器互相用 内网地址访问一下。能访问,才算活干完。
