在NS的技术手册里有,第五章基于路由的站点到站点
VPN,动态对等方
范例: 基于路由的站点到站点 VPN,动态对等方
在本例中,“自动密钥 IKE” VPN 通道使用预共享密钥或一对证书 ( 通道两端各一个) 来提供可保护东京 (Tokyo) 分
公司和巴黎 (Paris) 分公司的
NetScreen 设备之间的安全连接。巴黎分公司的
NetScreen 设备的 Untrust 区段接口具
有静态 IP 地址。为东京分公司提供服务的 ISP 通过 DHCP 为 Untrust 区段接口动态分配 IP 地址。由于只有巴黎的
NetScreen 设备的 Untrust 区段具有固定地址,因此 VPN 信息流必须来自东京分公司的主机。建立通道后,通过该
通道的信息流可以来自任意一端。所有安全区段和 Tunnel 区段都在 trust-vr 中。
互联网
VPN 通道
Tokyo
Trust 区段
eth1, 10.1.1.1/24
出接口
Untrust 区段
eth3 和网关
由 ISP 动态分配
Paris
Trust 区段
eth1, 10.2.2.1/24
出接口
Untrust 区段
eth3, 2.2.2.2/24
网关 2.2.2.250
DHCP 服务器
通道接口2.1.1.5
Tunnel.1
通道接口
Tunnel.1
东京的 NetScreen 设备上
所
配置的区段拓扑结构。
Trust
区段
Untrust
区段
Trust
区段
Untrust
区段
Tokyo Paris Tokyo Paris
巴黎的 NetScreen 设备上
所配置的区段拓扑结构。
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper
Networks NetScreen 概念与范例 – 第 5 卷: VPN 134
预共享密钥为 h1p8A24nG5。假设两个参与者都已从证书授权机构 (CA) Verisign 获得了 RSA 证书,而且电子邮件
地址
pmason@abc.com 出现在 NetScreen-A 上的本地证书中。( 有关获取并加载证书的信息,请参阅第 29 页上的
“证书和 CRL”。) 对于“阶段 1”和“阶段 2”安全级别,指定“阶段 1”提议 ( 对于预共享密钥方法,应为
pre-g2-3des-sha ;对于证书,应为 rsa-g2-3des-sha ) 并为“阶段 2”选择“Compatible”提议集。
在 VPN 通道两端的 NetScreen 设备上输入三个路由:
#8226; 通向 trust-vr 中外部
路由器的缺省路由
#8226; 通过通道接口通向目标的路由
#8226; 通向目标的 Null 路由。为 Null 路由分配较高的度量 ( 远离零),以便其成为通向目标的下一个可选路由。那
么,如果通道接口的状态变为“中断”,且引用该接口的路由变为非活动,则 NetScreen 设备会使用 Null 路
由 ( 即实质上丢弃了发送给它的任何信息流的路由),而不使用缺省路由 ( 即转发未加密的信息流的路由)。
最后,配置允许两站点间双向信息流的策略。
WebUI ( 东京 )
1. 接口
Network Interfaces Edit ( 对于 ethernet1 ): 输入以下内容,然后单击 Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Interface Mode: NAT
Network Interfaces Edit ( 对于 ethernet3 ): 输入以下内容,然后单击 Apply:
Zone Name: Untrust
输入以下内容,然后单击 OK:
Obtain IP using DHCP: ( 选择)5
5. 不能通过 WebUI 指定 DHCP 服务器的 IP 地址,但可通过 CLI 对其进行指定。
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 135
Network Interfaces New Tunnel IF: 输入以下内容,然后单击 OK:
Tunnel Interface Name:
tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: ( 选择)
Interface: ethernet3 (trust-vr)
2. 地址
Objects Addresses List New: 输入以下内容,然后单击 OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: ( 选择), 10.1.1.0/24
Zone: Trust
Objects Addresses List New: 输入以下内容,然后单击 OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: ( 选择), 10.2.2.0/24
Zone: Untrust
3. VPN
VPNs AutoKey Advanced Gateway New: 输入以下内容,然后单击 OK:
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: ( 选择), IP Address/Hostname: 2.2.2.2
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 136
预共享密钥
Preshared Key: h1p8A24nG5
Local ID:
pmason@abc.com
Outgoing Interface: ethernet3
Advanced: 输入以下高级设置,然后单击 Return,返回基本 Gateway 配置页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha
Mode (Initiator): Aggressive
( 或)
证书
Local ID:
pmason@abc.com6
Outgoing Interface: ethernet3
Advanced: 输入以下高级设置,然后单击 Return,返回基本 Gateway 配置页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
6. U-FQDN “
pmason@abc.com”必须出现在证书的 SubjectAltName 字段中。
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 137
VPNs AutoKey IKE New: 输入以下内容,然后单击 OK:
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway:
Predefined: ( 选择), To_Paris
Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey IKE
配置页:
Bind to: Tunnel Interface: ( 选择), tunnel.1
Proxy-ID: ( 选择)
Local IP / Netmask: 10.1.1.0/24
Remote IP / Netmask: 10.2.2.0/24
Service: ANY
4. 路由
Network Routing Routing Entries trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: ( 选择)
Interface: ethernet3
Gateway IP Address: 0.0.0.07
Network Routing Routing Entries trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: ( 选择)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
7. ISP 通过 DHCP 动态提供网关 IP 地址。
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 138
Network Routing Routing Entries trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: ( 选择)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5. 策略
Policies (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), Trust_LAN
Destination Address:
Address Book Entry: ( 选择), Paris_Office
Service: Any
Action: Permit
Position at Top: ( 选择)
Policies (From: Untrust, To: Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), Paris_Office
Destination Address:
Address Book Entry: ( 选择), Trust_LAN
Service: Any
Action: Permit
Position at Top: ( 选择)
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 139
WebUI ( 巴黎 )
1. 接口
Network Interfaces Edit ( 对于 ethernet1 ): 输入以下内容,然后单击 Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.2.2.1/24
选择以下内容,然后单击 OK:
Interface Mode: NAT
Network Interfaces Edit ( 对于 ethernet3 ): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address: 2.2.2.2/24
Network Interfaces New Tunnel IF: 输入以下内容,然后单击 OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: ( 选择)
Interface: ethernet3 (trust-vr)
2. 地址
Objects Addresses List New: 输入以下内容,然后单击 OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: ( 选择), 10.2.2.0/24
Zone: Trust
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 140
Objects Addresses List New: 输入以下内容,然后单击 OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: ( 选择), 10.1.1.0/24
Zone: Untrust
3. VPN
VPNs AutoKey Advanced Gateway New: 输入以下内容,然后单击 OK:
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: ( 选择), Peer ID:
pmason@abc.com
预共享密钥
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
Advanced: 输入以下高级设置,然后单击 Return,返回基本 Gateway 配置页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha
Mode (Initiator): Aggressive
( 或)
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 141
证书
Outgoing Interface: ethernet3
Advanced: 输入以下高级设置,然后单击 Return,返回基本 Gateway 配置页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
VPNs AutoKey IKE New: 输入以下内容,然后单击 OK:
VPN Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: ( 选择), To_Tokyo
Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey IKE
配置页:
Bind to: Tunnel Interface: ( 选择), tunnel.1
Proxy-ID: ( 选择)
Local IP / Netmask: 10.2.2.0/24
Remote IP / Netmask: 10.1.1.0/24
Service: ANY
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 142
4. 路由
Network Routing Routing Entries trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: ( 选择)
Interface: ethernet3
Gateway IP Address: ( 选择), 2.2.2.250
Network Routing Routing Entries trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: ( 选择)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network Routing Routing Entries trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: ( 选择)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
第 4 章 站点到站点 VPN 站点到站点 VPN 配置
Juniper Networks NetScreen 概念与范例 – 第 5 卷: VPN 143
5. 策略
Policies (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), Trust_LAN
Destination Address:
Address Book Entry: ( 选择), Tokyo_Office
Service: Any
Action: Permit
Position at Top: ( 选择)
Policies (From: Untrust, To: Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), Tokyo_Office
Destination Address:
Address Book Entry: ( 选择), Trust_LAN
Service: Any
Action: Permit
Position at Top: ( 选择)
2001-2007 Comsenz Inc.
