ORB305与Juniper SRX构建IPsec VPN操作手册

1、网络拓扑
ORB305工业4G路由器使用SIM卡拨号上网，获得运营商分配的动态私网IP地址。右侧为企业数据中心部署Juniper SRX防火墙，通过企业专线接入了互联网，并且使用静态公网IP，防火墙WAN接口（Unturst接口）接入互联网，LAN（Trust接口为企业内网）。LTE 4G无线路由器与Juniper SRX防火墙建立IPSec VPN，使得企业的LAN可以访问ORB305工业无线路由器的LAN口设备。

2、Juniper SRX防火墙配置指导
（WAN/LAN端口都可以在防火墙的配置向导中进行配置）
1、LAN端口配置，如图所示：

2、WAN端口配置，如图所示：

3、防火墙IKE配置：

配置隧道预共享密钥

由于4G路由器为动态IP，所以在建立SA时每台路由器需要配置FQDN，在防火墙的配置是Hostname。Hostname是自己定义的一串字符，下图为例第一台路由器的Hostname为station1

4、防火墙配置IPSec策略，配置参数如图所示：

新增Tunnels接口，将感兴趣流（从10.15.124.0/24到192.168.1.0/24）关联到st.1接口

在路由器的路由表Untrust/Trust策略

3、ORB305路由器端配置指导
1、将SIM卡插入路由器卡槽
2、给设备上电，登入路由器web页面（默认为192.168.2.1）
3、进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级，保存配置

4、对应SIM卡拨号成功，当前链路变为绿色
5、进入网络→VPN→IPsec界面进行路由器（IPsec VPN客户端）配置

保存并应用配置后即可进入状态→VPN页面看到IPsec VPN状态为已连接