Juniper Ipsec VPN 配置手册

《Juniper Ipsec VPN 配置手册》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Juniper的防火墙基本都集成了VPN功能，VPN功能是企业网络非常常用的功能，建立VPN后可以确保数据传输的安全性。这里就介绍一下Juniper防火墙配置两端都是固定IP的IPsecVPN的步骤，关于IPsecVPN的介绍可以参考[IPSecVPN的详细介绍]。在左侧的菜单栏下VPN菜单可以看到配置VPN需要用到的一些配置元素1、建立VPN网关首先需要在VPNs>AutoKeyAdvanced>Gateway下新建一个VPN网关，如下图所示，这个界面下我已经建立了多个VPN网关，这台Juniper防火墙是放在上海的办公室的，需要

2、和北京的办公室建立一个IPsecVPN。其中“PeerType”表示VPN的类型，Dialup是拨号VPN，Dynamic是一端是动态地址的VPN，static是两端都是固定IP的VPN。Gatewayname起个容易记得住的名称，因为如果VPN多了就分部清是到哪里的VPN网关了Remotegateway填远端防火墙的外网IP地址DynamicIPAddress如果对端是adsl拨号这样的动态IP，需要填写远端的PeerID，该PeerID需要在远端预设，名称的自己随便起，只要网关的PeerID和远端的LocalID一样就可以了，关

3、于localid的设置在下面介绍。点击advanced进入高级设置：PresharedKey这是预设共享密钥，非常重要，VPN建立时验证使用的，两端要保持一致localID这是用在有一端是动态IP，也就是给动态IP的一端起个名字，这样IP地址变了可以根据localID来识别动态IP端得防火墙设备。要与远端防火墙的peerid保持一致。OutgoingInterface这是指定出口的接口，一半来说是Untrust接口，截图是在编辑模式，因此不能修改，在新建模式是可以选择接口的。SecurityLevel安全等级可以自定义，前提是两边防

4、火墙选择的加密方式要一致，我这边图省事，使用的是默认设置。Mode(Initiator)连接模式我这边选择的是 Aggressive（野蛮模式），这个模式建立VPN连接的速度比较快。接下来的参数全部选择默认就可以了。2、建立autokeyIKE建立好gateway之后，接下来就可以在VPNs>AutoKeyIKE下建立一个AutoKeyIKEVPNName随便起，自己分的清就行了RemoteGateway 选择前面设置的vpn网关名称接下来进入高级设置高级设置也没什么高级的，只要选择一下SecurityLevel二次验证的加密方式就

5、行了。3、建立VPNPolicy接下来就需要设置一条策略允许VPN建立连接访问 在policy界面下选择从Untrust到Trust建立一条心策略SourceAddress源地址为远端内网网段DestinationAddress目的地址为本地网段Action选择Tunnel，也就是走VPN隧道Tunnel选择你建立的IKEModifymatchingbidirectionalVPNpolicy 打上钩，就是同时建立一条反向策略，允许VPN两端互访。4、建立发起IPsecVPN连接及查看状态这样IPsecVPN的一端已经设置好了，再在

6、对端做相同的设置。VPN的建立需要有数据通信才会建立，如果两边都是固定IP，ping一下对端的内网网关，如果一端是动态IP的话就必须从动态IP端发起连接才能顺利建立IPsecVPN的连接。没设置错的话一条IPsecVPN就建立起来了。在VPNs>MonitorStatus界面下可以看到VPN的状态