网络时代交流中心

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2242|回复: 0

Juniper,将野蛮进行到底

[复制链接]

281

主题

303

帖子

8万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
80889
发表于 2014-11-12 23:33:56 | 显示全部楼层 |阅读模式

IKE 的协商模式

    在RFC2409The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。

    主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了消息的开销。

野蛮模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数,但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制,但可以满足某些特定的网络环境需求。

野蛮模式的作用:

对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA

(以上信息来自于互联网,请尊重版权。)

使用野蛮模式可以快速构建VPN,在网上有很多使用华为设备来做野蛮模式的案例,但是Juniper几乎无人问津。本篇,系笔者倾力打造,绝对原创,谢绝一切转载、摘抄、剽窃等侵权行为。接下来,笔者将和您一同领略Juniper那无限的风采。另:为了便于您更好的理解Juniper的配置,笔者分别使用两种方式(命令行与Web方式)进行配置。

Juniper命令行模式配置

实验环境:某公司总部位于北京,分公司位于上海和台湾,现本公司想要实现总部与各个分公司的内网通讯,但是分公司使用的地址是动态IP,因此,需要使用野蛮模式来构建VPN

实验拓扑:


实验设备:

        Juniper防火墙(SSG 5)一台

        Juniper 防火墙(NS 25)一台

        华为三层交换机(S3526)一台

实验步骤:

       1.配置三层交换机

  


       2.配置上海防火墙

  


  


  


  


  


       3.配置台湾防火墙

  


  


  


  


  


       4.配置北京防火墙

  


  


  


  


  


  


       5.使用上海PC进行测试

   

       6.使用台湾PC进行测试


Juniper 浏览器配置模式

提前声明:1.为了节省时间和空间,笔者只是进行北京和台湾的配置,北京和上海的配置与此类似,笔者不再额外讲述。

          2.此次在各分公司防火墙上使用的虽然是静态的地址,但是笔者配置的模式依然是野蛮模式,因此,对实验结果毫无影响。

实验环境:某公司总部位于北京,分公司位于上海和台湾,现本公司想要实现总部与各个分公司的内网通讯,但是分公司使用的地址是动态IP,因此,需要使用野蛮模式来构建VPN

实验拓扑:

实验设备:

        Juniper防火墙(SSG 5)一台

        Juniper 防火墙(NS 25)一台

        华为三层交换机(S3526)一台

实验步骤:

       1.配置三层交换机

       2.配置台湾防火墙
















       3.配置北京防火墙




















       4.再次配置上海和北京防火墙

    上海和北京之间配置与台湾和北京配置类似,笔者进行省略。

       5.使用上海PC进行测试

       6.使用台湾PC进行测试

总结:

命令行配置步骤:

分公司配置:

1.基本配置(IP地址、网关等)

2.配置各个地址段

3.配置Gateway(远端静态地址、本地ID、野蛮模式、密钥、加密等)

4.配置VPN(使用定义的Gateway

5.配置策略(依据地址段进行控制、转入通道、使用定义的VPN

总公司配置:

1.基本配置(IP地址、网关等)

2.配置各个地址段

3.配置Gateway(远端动态地址、邻居ID、野蛮模式、密钥、加密等)

4.配置VPN(使用定义的Gateway

5.配置策略(依据地址段进行控制、转入通道、使用定义的VPN

浏览器配置:

分公司配置:

1.基本配置(IP地址、网关等)

2.配置Gateway(远端静态地址、本地ID、野蛮模式、密钥、加密等)

3.配置Auto IKE(定义vpn,使用使用定义的Gateway

4.配置Policies(依据地址段进行控制、转入通道、使用定义的VPN

总公司配置:

1.基本配置(IP地址、网关等)

2配置Gateway(远端动态地址、邻居ID、野蛮模式、密钥、加密等)

3配置Auto IKE(定义vpn,使用使用定义的Gateway

4配置Policies(依据地址段进行控制、转入通道、使用定义的VPN

本文出自 “pheonix” 博客,谢绝转载!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

深圳市原创科技有限公司
快速回复 返回顶部 返回列表