0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

超详细,工业路由器与Juniper Netscreen防火墙构建IPsecVPN指南

北京东用科技有限公司 2022-12-09 09:37 次阅读

一、网络拓扑
ORC305工业4G路由器使用SIM卡拨号上网,获得运营商分配的动态私网IP地址。右侧为企业数据中心部署Juniper Netscreen Firewall防火墙,通过企业专线接入了互联网,并且使用静态公网IP,防火墙WAN接口(Unturst接口)接入互联网,LAN(Trust接口为企业内网)。LTE 4G无线路由器与Juniper Netscreen Firewall防火墙建立IPSec VPN,使得企业的LAN可以访问ORC305工业无线路由器的LAN口设备。

poYBAGORuv-AKDfRAA5X6lDFCVo312.png

二、Juniper Netscreen Firewall配置指导
1.NetScreen配置,如图所示:

poYBAGORuwiARmtXAABXyFWlXn0204.png

在NetScreen系列防火墙端口的初始配置下(这里以SSG5系列为例),Bgroup0在trust区域并关联上了ethernet0/2-6,Bgroup1-3在Null区域。ethernet0/0口在Untrust区域。ethernet0/1在DMZ区域,Serial0/0工作在Null区域,vlan1工作在Null区域。在对WAN口进行配置之前可以对接口做一个规划。在这我们把ethernet0/0做为WAN口放在Untrust区域。把ethernet0/1也放入到Bgoup0中去做为LAN口。

pYYBAGORuxGAV-56AABz1L_ZSAo174.png

WEBUI Network>Interfaces(List)

poYBAGORuxqAaW65AAA_zWShkfY443.png

WEBUI Zone Name:Null(只有在Null区域的接口才能被关联到Bgroup中)

poYBAGORuyKAD2mIAAB2Y_-qOcw703.png

WEBUI Network>Interfaces(List)f

pYYBAGORu0GAS-mpAAA1z_V-6Jw237.png

WEBUI Network>Interfaces>Edit>Bind Port Bind to current Bgroup Ethernet0/2:(勾选)Ethernet0/3:(勾选)Ethernet0/4:(勾选)Ethernet0/5:(勾选)Ethernet0/6:(勾选)现在E0/1-6就都成为了LAN端口了1.1配置WAN端口1.1.1静态IP地址模式下图中ethernet0/0的IP为172.0.0.254/24为设备的出厂默认值。若运用商为该线路分配了IP为125.69.128.0/24的地址,则需要根据将WAN接口的地址修改为此IP地址。

poYBAGORu0uAY6qSAACP6kqmW_g310.png

WEBUI Network>Interfaces(List)

pYYBAGORu1aAQjiUAABS8snDfI4427.png

WEBUI Network>Interfaces>Edit Static IP IP Address/Netmask:125.69.128.108/24(中心端的固定IP地址)1.1.2 PPPoE模式

poYBAGORu1-AYIYqAACPSp5Pbgs859.png

WEBUI Network>Interfaces(List)

pYYBAGORu2iAHZS5AABPGVysCO8160.png

Zone Name:Untrust Obtain IP using PPPoE:Create new pppoe setting

poYBAGORu3GAcOiTAAFov8D4w_s113.png

WEBUI Network>PPPoE>Edit Enable:(勾选)Bound to Interface:ethernet0/0 Username:(填写pppoe的账号)Password:(填写pppoe的密码)Authentication:any(包含了CHAP PAP两种认证方式)现在Ethernet0/0就已经设置成为了pppoe的WAN端拨号口。检查pppoe状态

poYBAGORu3qAa12xAAAt6ft_2BM771.png

配置好后在WEBUI Network>PPPoE(List)可以看到State栏会变成Connected状态

poYBAGORu4KAdLqdAACM4xMONt8302.png

回到WEBUI Network>Interfaces(List)如图所示在ethernet0/0的pppoe栏会看到一个绿色的表示拨号已经成功。并且IP/Network栏会看到pppoe分配的ip地址和掩码。如果看到是一个红色的表示拨号没成功,如果点击一下系统会重启拨号过程,如果还是失败就检查是否线路或者配置有错误。1.1.3 DHCP动态地址模式

poYBAGORu0uAY6qSAACP6kqmW_g310.png

WEBUI Network>Interfaces(List)

pYYBAGORu5WASztUAACQnxyR71A490.png

WEBUI Network>Interfaces>Edit Obtain IP using DHCP:选取点击ok之后30秒以内就可以获取到IP地址。
2.LAN端口配置,如图所示:

poYBAGORu5-AOxSNAACLvDAjIhs347.png

WEBUI Network>Interfaces(List)>Edit

pYYBAGORu6eADNAPAABpsLDoOi0399.png

Properties:Basic Zone Name:Trust Static IP:IP Address/Netmask 172.0.0.1/24 Manageable(勾选)Interface Mode:NAT这里需要注意一个问题,在吧Bgroup0的地址从192.168.1.1/24配置到实际需要的地址(172.0.0.1/24)之后。由于DHCP中关于该接口的地址池配置不会自动创建,所以会导致不能通过WEB界面继续对SSG5进行配置。需要给自己的主机手工设置一个地址。如172.0.0.33/24。再在WEB界面登录172.0.0.1就可以继续对SSG5进行配置了。

poYBAGORu7CACruaAAAkS2wOTeg555.png

WEBUI Network>DHCP(List)

poYBAGORu72ATNo6AAAn6T1oWQ4520.png

WEBUI Network>DHCP(List)

pYYBAGORu8eAJduIAAAyO0rNcs8730.png

WEBUI Network>DHCP>DHCP Server Address Edit Dynamic:IP Address Start:172.0.0.2(网段中的起始地址)IP Address End:172.0.0.254(网段中的结束地址)现在取消掉手动配置的ip地址以后就可以通过DHCP自动获得IP地址了。
tunnel接口配置,如图所示:

pYYBAGORu9KAKsNjAACGqWz3ylg650.png

WEBUI Network>Interfaces(List)>New

pYYBAGORu9uAUdEIAABk5kd7a3g530.png

WEBUI Unnumbered:选择Interface:ethernet0/0(trust-vr)创建一个tunnel接口并将改接口关联到WAN口上。以备ipsec发送数据时使用。1.4配置策略在系统默认的情况下我们有一条重Trust区域所有条目到Untrust区域的所有条目的策略。而在VPN的环境中我们必须要做到无论哪个区域优先发起的流量都能通信,所以需要在Untrust到Trust的区域添加一条策略。

pYYBAGORu-WAJ7BMAAA3W-iK9Js605.png

WEBUI Policy>Policy Elements>Addresses>List

poYBAGORu-2AQwB7AAAyZlfM1Kw219.png

WEBUI Policy>Policy Elements>Addresses>Configuration Address Name:远端1LAN(为远端1的列表配置一个名称)IP Address/Netmask(wildcard mask):192.168.2.0/24(对端1LAN的地址)Zone:Untrust(远端1的流量从tunnel口进来属于Untrust区域)

poYBAGORu_WAH-z-AABBBCMxwgs963.png

WEBUI Policy>Policy Elements>Addresses>List

poYBAGORu_6AJxTdAAAyodOplQE451.png

Policy>Policy Elements>Addresses>Configuration Address Name:本地LAN(给本地LAN的条目配置一个名称)IP Address/Netmask(wildcard mask):172.0.0.0/24(本地LAN的地址和掩码)Zone:Trust(本地LAN应该属于Trust区域)

poYBAGORvAWAC2SBAAA9rdG8npk912.png

WEBUI Policy>Policies(From Untrust To Trust)From:Untrust(选取)to:Trust(选取)

pYYBAGORvA6AUXGuAABmuRXbI78565.png

WEBUI Policy>Policies(From Untrust To Trust)Source Address:Address Book Enty:远端1LAN(之前为远端1条目创建的列表,因为是从Untrust到trust所以这里为源)Destination Address:Address Book Enty:本地LAN(本地LAN列表名)点击OK一条从Untrust到Trust的策略就配置好了。使得双方的LAN端可以顺利通信。
三、ORC305路由器端配置指导
1.将SIM卡插入路由器卡槽
2.给设备上电,登入路由器web页面(默认为192.168.2.1)
3.进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级,保存配置
4.对应SIM卡拨号成功,当前链路变为绿色
5.进入网络→VPN→IPsec界面进行路由器(IPsec VPN客户端)配置

poYBAGMkVpSALg4cAABXhOowYlI942.pngpoYBAGORvGeALzVOAACsidImEKg306.pngpoYBAGORvBqAGoKFAAHpa8pgs1U630.pngpoYBAGMkVp-AH1FTAAHZ_aTRpks713.png

保存并应用配置后即可进入状态→VPN页面看到IPsec VPN状态为已连接

pYYBAGMkVp-ABT4NAAB7xct7itA096.png
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 防火墙
    +关注

    关注

    0

    文章

    416

    浏览量

    35594
  • VPN
    VPN
    +关注

    关注

    4

    文章

    291

    浏览量

    29662
  • IPSec
    +关注

    关注

    0

    文章

    59

    浏览量

    22795
  • 工业路由器
    +关注

    关注

    2

    文章

    410

    浏览量

    14534
收藏 人收藏

    评论

    相关推荐

    云服务防火墙设置方法

    云服务防火墙的设置方法通常包括:第一步:登录控制台,第二步:配置安全组规则,第三步:添加和编辑规则,第四步:启用或停用规则,第五步:保存并应用配置。云服务防火墙的设置是确保网络安全
    的头像 发表于 11-05 09:34 148次阅读

    Juniper防火墙配置NAT映射的问题分析

    记录一下Juniper SSG或者ISG 系列防火墙上配置一对多NAT映射 VIP(Viritual Internet Protocol)时碰到的一个特殊的问题, 就是在内部服务ICMP报文被阻断
    的头像 发表于 10-29 09:55 217次阅读
    <b class='flag-5'>Juniper</b><b class='flag-5'>防火墙</b>配置NAT映射的问题分析

    硬件防火墙和软件防火墙区别

    电子发烧友网站提供《硬件防火墙和软件防火墙区别.doc》资料免费下载
    发表于 10-21 11:03 1次下载

    IR700与SSG5防火墙如何建立VPN模板?

    参数 本地标识:inhand@inhand.com对端标识:zhongxin@inhand.com共享密钥是1234563 无线路由器建立IPSec vpn的成功标识 4 无线路由器建立
    发表于 07-26 08:12

    深信服防火墙和IR700建立IPSec VPN的配置说明

    深信服防火墙和IR700建立IPSec VPN 配置说明本文档针对深信服防火墙 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec
    发表于 07-26 07:43

    IPSecVPN + PPTP VPN Demo搭建配置说明

    219.232.192.xxx防火墙自动将数据转发到CiscoRV042; 3、 CiscoRV042 为VPN 路由器 ,WAN (Internet)接口为 192.168.100.36,LAN接口为172.16.0.0/24
    发表于 07-26 06:01

    InRouter与Juniper SRX如何建立IPSec隧道配置?

    公网IP,防火墙WAN接口(Unturst接口)接入互联网,LAN(Trust接口为企业内网)。LTE 4G 无线路由器Juniper SRX防火墙建立IPSec
    发表于 07-25 07:32

    两台IR615和华为USG6335E建立IPsecVPN的过程

    华为防火墙作为中心网关,两台IR615路由器作为分支节点,与中心网关建立IPSecVPN隧道,对中心网关子网(10.168.1.0/24)和路由器IR615-1的子网(10.168.2
    发表于 07-24 07:20

    IR915与AF1000建立IPSecVPN配置的过程

    防火墙与IR915之间建立一个安全隧道,对客户路由器端设备子网(192.168.33.0/24),与防火墙端服务子网(172.16.99.0/24)之间的数据流进行安全保护。安全协
    发表于 07-24 07:02

    工业路由器:轻松告别繁琐的网络配置

    工业路由器专为工业环境设计,具备高性能、大容量内存、高速传输速率,支持远程管理、动态路由防火墙功能等,安装简便,用户界面友好,提供加密通
    的头像 发表于 05-14 17:27 320次阅读

    常见的工业路由器访问问题

    本文介绍了工业路由器PPTP设置、SIM卡无网、外网IP地址、IP配置无网络、防火墙设置VPN访问二级路由器等问题及解决方案。确保设置正确、
    的头像 发表于 04-25 20:52 319次阅读
    常见的<b class='flag-5'>工业</b><b class='flag-5'>路由器</b>访问问题

    工业路由器:如何保障工业生产的安全与效率

    工业路由器工业网络的核心设备,可实现设备间的数据传输和通信,提高生产效率,保证数据安全,降低成本,支持多种协议。通过硬件防护、数据加密、防火墙和协议过滤等措施保障安全,通过高速传输、
    的头像 发表于 04-01 18:16 1060次阅读

    工业防火墙是什么?工业防火墙主要用在哪里?

    工业防火墙是一种专为工业控制系统(Industrial Control Systems, ICS)设计的网络安全设备,它结合了硬件与软件技术,用以保护工业生产环境中的关键基础设施免受网
    的头像 发表于 03-26 15:35 1209次阅读

    你真知道交换机、路由器防火墙的区别吗?

    你真知道交换机、路由器防火墙的区别吗? 交换机、路由器防火墙是计算机网络中常见的三种设备,它们各自起到不同的作用以提供网络连接、数据转发和安全保护。下面将
    的头像 发表于 02-04 11:17 2160次阅读

    什么是SPI?SPI防火墙的优点

    SPI防火墙(Stateful Packet Inspection Firewall)是一种用于网络安全的防火墙技术。SPI防火墙是一种全状态数据包检测型防火墙,主要通过检查网络数据包
    的头像 发表于 11-29 09:42 823次阅读