InRouter与Juniper SRX建立IPSec隧道配置案例

拓扑图中左侧为LTE 4G 无线路由器,4G路由器使用SIM卡拨号上网,获得运营商分配的动态私网IP地址。右侧为企业数据中心部署Juniper SRX防火墙,通过企业专线接入了互联网,并且使用静态公网IP,防火墙WAN接口(Unturst接口)接入互联网,LAN(Trust接口为企业内网)。LTE 4G 无线路由器与Juniper SRX防火墙建立IPSec VPN,使得企业的LAN可以访问LTE 4G 无线路由器的LAN。

/uploads/article/20201120/05189cc1b2b6f360fddcf0bc2bb1045a.png

IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。


1. 防火墙配置- LAN端口 (WAN/LAN端口都可以在防火墙的配置向导中进行配置)

/uploads/article/20201120/34157c52e868951f248d04cb79b187e5.png

1.2 防火墙 WAN端口

/uploads/article/20201120/0bcf9c623b97fc8c2c161eec8bddc24a.png

2.1 防火墙IKE配置

/uploads/article/20201120/13cd0e8bfba4f6521df3358a1c9281dc.png

配置 隧道预共享密钥。

/uploads/article/20201120/17993aa024ed64ebf42b8942158c9d24.png


/uploads/article/20201120/42d5686e7872defd835d121e8a2b82c6.png


由于4G路由器为动态IP,所以在建立SA时每台路由器需要配置FQDN,在防火墙的配置是Hostname。Hostname是自己定义的一串字符,下图为例第一台路由器的Hostname为 inhandstation1


/uploads/article/20201120/a631de7d2380bb088e8854b7d9eb1327.png


2.2 防火墙配置IPSec策略

/uploads/article/20201120/69d5875bc2e2525e37839aa0564d4232.png


/uploads/article/20201120/e87c24aad1253b4b0167bff9b06c47ba.png

新增Tunnels 接口,将感兴趣流(从10.15.124.0/24 到192.168.1.0/24)关联到st.1接口

/uploads/article/20201120/211865b3d809d95c2bb7a0cb705dabb2.png

/uploads/article/20201120/3c2ce7aef826ad0a2659be0d90c7aaca.png


/uploads/article/20201120/75b982f757c16f77c27526230854368f.png

2.3  在路由器的路由表Untrust/Trust策略

/uploads/article/20201120/751eaf0cd5bed3d59ac278d5a40b47b6.png


/uploads/article/20201120/8e147eb527cbaf0ab91593687f1080af.png


3.1  LTE 4G无线路由器IR300/IR600 新增IPSec隧道配置


/uploads/article/20201120/d910411db9c72a4f6820d65a1599ebf3.png

/uploads/article/20201120/5359f86ae4596c20ccafa984813a39d0.png


密钥与在防火墙中配置一样的内容。

/uploads/article/20201120/91127f76d2345ba79b0045ded166b778.png


第一阶段ISAKMP建立成功、第二阶段 IPsec SA建立成功

/uploads/article/20201120/bb2cfca7c7fd7d25ef6e1a02d20657ea.png


以无线路由器LAN地址为源地址 (-I 192.168.1.1)ping 目的f地址 10.15.124.254 (防火墙LAN地址)


/uploads/article/20201120/40ad7dbac6c896d79a3e196830ebb089.png



4. LTE无线路由器 IR900 的iPSec配置

/uploads/article/20201120/e857f3450a3dd6d7dd858b6e83bb8b9f.png

/uploads/article/20201120/288cbf360f3c64c94a45c1f433167622.png

/uploads/article/20201120/018ad6aa2e4b5cd9ab0dc61fdd0a066d.png /uploads/article/20201120/dffe9059fbaaf4bca3400278a2d5909a.png


0 个评论

要回复文章请先登录注册