InRouter与Juniper SRX建立IPSec隧道配置案例
拓扑图中左侧为LTE 4G 无线路由器,4G路由器使用SIM卡拨号上网,获得运营商分配的动态私网IP地址。右侧为企业数据中心部署Juniper SRX防火墙,通过企业专线接入了互联网,并且使用静态公网IP,防火墙WAN接口(Unturst接口)接入互联网,LAN(Trust接口为企业内网)。LTE 4G 无线路由器与Juniper SRX防火墙建立IPSec VPN,使得企业的LAN可以访问LTE 4G 无线路由器的LAN。
IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
1. 防火墙配置- LAN端口 (WAN/LAN端口都可以在防火墙的配置向导中进行配置)
1.2 防火墙 WAN端口
2.1 防火墙IKE配置
配置 隧道预共享密钥。
由于4G路由器为动态IP,所以在建立SA时每台路由器需要配置FQDN,在防火墙的配置是Hostname。Hostname是自己定义的一串字符,下图为例第一台路由器的Hostname为 inhandstation1
2.2 防火墙配置IPSec策略
新增Tunnels 接口,将感兴趣流(从10.15.124.0/24 到192.168.1.0/24)关联到st.1接口
2.3 在路由器的路由表Untrust/Trust策略
3.1 LTE 4G无线路由器IR300/IR600 新增IPSec隧道配置
密钥与在防火墙中配置一样的内容。
第一阶段ISAKMP建立成功、第二阶段 IPsec SA建立成功
以无线路由器LAN地址为源地址 (-I 192.168.1.1)ping 目的f地址 10.15.124.254 (防火墙LAN地址)
4. LTE无线路由器 IR900 的iPSec配置