Juniper防火墙配置 | 您所在的位置:网站首页 › juniper配置网关 › Juniper防火墙配置 |
使用IPsec VPN建立站点到站点的连接时,在配置完天翼云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项示例值IKE 认证算法 SHA256 加密算法 3DES DH分组 Group2 IKE版本 IKEv1 生命周期 86400 协商模式 main PSK aa123bb**** IPsec认证算法 SHA256 加密算法 3DES PFS DH group2 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤按照以下操作,在Juniper防火墙中加载用户网关的配置。 登录防火墙设备的命令行配置界面。 配置基本网络、安全域和地址簿信息。 Set security zones security-zone trust address-book address net-cfgr_192-168-18-0--24 192.168.18.0/24 set security zones security-zone vpn address-book address net-cfgr_192-168-1-0--24 192.168.1.0/24 配置IKE策略。 set security ike policy ike-policy-cfgr mode main set security ike policy ike-policy-cfgr pre-shared-key ascii-text "aa123bb****" 配置IKE网关、出接口和协议版本。 set security ike gateway ike-gate-cfgr ike-policy ike-policy-cfgr set security ike gateway ike-gate-cfgr address 121.xxx.xxx.113 set security ike gateway ike-gate-cfgr external-interface ge-0/0/3 set security ike gateway ike-gate-cfgr version v1-only 配置IPsec策略。 set security ipsec policy ipsec-policy-cfgr proposal-set standard 应用IPsec策略。 set security ipsec vpn ipsec-vpn-cfgr ike gateway ike-gate-cfgr set security ipsec vpn ipsec-vpn-cfgr ike ipsec-policy ipsec-policy-cfgr set security ipsec vpn ipsec-vpn-cfgr bind-interface st0.0 set security ipsec vpn ipsec-vpn-cfgr establish-tunnels immediately set security ipsec policy ipsec-policy-cfgr perfect-forward-secrecy keys group2 配置出站策略。 set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match source-address net-cfgr_192-168-18-0--24 set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match destination-address net-cfgr_192-168-1-0--24 set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match application any set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr then permit 配置入站策略。 set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match source-address net-cfgr_192-168-1-0--24 set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match destination-address net-cfgr_192-168-18-0--24 set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match application any set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr then permit |
CopyRight 2018-2019 实验室设备网 版权所有 |