发布时间 : 2024/5/8 9:51:56 星期三 文章Juniper SRX Dynamic VPN--公司使用中更新完毕开始阅读2891e103ba1aa8114431d951

Juniper SRX Dynamic VPN

Juniper的Dyanmic VPN是一种和Cisco Remote vpn差不多的IPsec VPN。Juniper SRX默认支持两个用户同时拨入，如果需要更多，就需要买相关license。

和Cisco remote vpn一样需要安装一个客户端，然后可以通过本地和AAA 的用户来验证。但是还是有些地方和Cisco不太一样，在实验的过程中，将阐明清楚。 拓扑图很简单：

Trust PC------------------------------SRX-------------------------Untrust VPN Client

192.168.80.0/24 172.32.1.0/24 配置步骤：

1、基本 interface and zone 信息配置省略 2、配置access 的用户验证和地址池 srx@srx100h# show access profile dy-vpn-pf { client srx { firewall-user {

password \## SECRET-DATA （这里采用本地验证，用户名srx）

address-assignment { pool dy-vpn-pool; } }

address-assignment {

pool dy-vpn-pool { family inet {

network 192.168.80.0/24; range dy-vpn-rang {

low 192.168.80.230; （这里从trust的192.168.80.0/24截取一段）

high 192.168.80.235; }

xauth-attributes {

primary-dns 8.8.8.8/32; } } } }

firewall-authentication { （到时候需要先通过web验证，然后再下载JUNOS PULSE，所以web验证这里需要调用profile）

web-authentication { default-profile dy-vpn-pf; } }

3、开启web 管理，同样这里是因为先要通过web验证，来下载PUlSE

srx@srx100h# show system services web-management {

https {

system-generated-certificate;

interface [ vlan.0 fe-0/0/0.0 ]; （在untrust接口上开启https） } }

4、配置 IKE 第一阶段

srx@srx100h# show security ike traceoptions { file ike-debug; flag all; }

proposal dy-ike-pp {

authentication-method pre-shared-keys; dh-group group2;

authentication-algorithm md5; encryption-algorithm 3des-cbc; }

policy dy-ike-pl {

mode aggressive; （注意，这里要用野蛮模式） proposals dy-ike-pp;

pre-shared-key ascii-text \里采用pre-share-key，但实际在拨入的时候不需要输入这个key） }

gateway dy-ike-gw {

（虽然这 ike-policy dy-ike-pl; dynamic {

hostname dynvpn;

connections-limit 10; （最大允许10个同事连接） ike-user-type group-ike-id; }

external-interface fe-0/0/0; xauth access-profile dy-vpn-pf; }

5、配置IPSEC 信息

srx@srx100h# show security ipsec traceoptions { flag all; }

proposal dy-ipsec-pp { protocol esp;

authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; }

policy dy-ipsec-pl {

proposals dy-ipsec-pp; }

vpn dy-ipse-vpn { ike {

gateway dy-ike-gw;

ipsec-policy dy-ipsec-pl; } }

6、配置Dynamic-VPN access-rpofile 信息（包括调用VPN 拨入的账号，受保护的资源） srx@srx100h# show security dynamic-vpn access-profile dy-vpn-pf; clients { all {

remote-protected-resources { 192.168.80.0/24;