示例:使用预共享密钥配置 AutoVPN
此示例说明如何配置 VPN 网关用于对远程对等方进行身份验证的不同 IKE 预共享密钥。同样,要配置 VPN 网关用于对远程对等方进行身份验证的同一 IKE 预共享密钥。
有关 AutoVPN 的端到端配置,请参阅本主题中的其他示例。
要求
此示例使用以下硬件和软件组件:
- MX240、MX480 和 MX960 以及支持 AutoVPN 的 MX-SPC3 和 Junos OS 21.1R1 版
- 或带有 SPC3 和支持 AutoVPN 的 Junos OS 21.2R1 版的 SRX5000 系列
- 或运行 iked 进程(使用
junos-ike软件包)和支持 AutoVPN 的 Junos OS 21.2R1 版的 vSRX 虚拟防火墙
配置不同的 IKE 预共享密钥
要配置 VPN 网关用于对远程对等方进行身份验证的不同 IKE 预共享密钥,请执行以下操作。
- 在具有 AutoVPN 集线器的设备中配置种子预共享 IKE 策略。
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
或
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
例如:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
或
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- 在远程对等设备的 IKE 策略中配置生成的 PSK( 步骤 2 中的“79e4ea39f5c06834a3c4c031e37c6de24d46798a”)。
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
例如:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (选答)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [edit security IKE Gateway gateway_name dynamic] 层级下配置
general-ikeid配置语句。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
结果
在配置模式下,输入 show security 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
配置相同的 IKE 预共享密钥
要配置 VPN 网关用于对远程对等方身份验证的同一 IKE 预共享密钥,请执行以下操作。
- 使用 AutoVPN 集线器在设备中配置通用
pre-shared-keyIKE 策略。[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例如:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- 在远程对等设备的 IKE 策略上配置公共
pre-shared-key资源。[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例如:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (选答)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [edit security IKE Gateway gateway_name dynamic] 层级下配置
general-ikeid配置语句。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
结果
在配置模式下,输入 show security 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}