示例:使用预共享密钥配置 AutoVPN
此示例说明如何配置由 VPN 网关用于对远程对等方进行身份验证的不同 IKE 预共享密钥。同样,配置由 VPN 网关用于对远程对等方进行身份验证的同一 IKE 预共享密钥。
要求
此示例使用以下硬件和软件组件:
- MX240、MX480 和 MX960 以及支持 AutoVPN 的 MX-SPC3 和 Junos OS 21.1R1 版
- 或 SRX5000 系列设备,支持 AutoVPN 的 SPC3 和 Junos OS 21.2R1 版
- 或 vSRX,运行 iked 和支持 AutoVPN 的 Junos OS 21.2R1 版
配置不同的 IKE 预共享密钥
要配置 VPN 网关用于验证远程对等方的不同 IKE 预共享密钥,请执行这些任务。
- 在具有 AutoVPN 中枢的设备中配置种子预共享的 IKE 策略。
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
或
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
例如:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
或
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- 在远程对等设备上的 ike 策略中配置生成的 PSK(“79e4ea39f5c06834a3c4c031e37c6de24d46798a”)
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
例如:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (可选)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [编辑安全 ike 网关gateway_name动态] 层次结构级别下配置
general-ikeid配置语句。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
结果
在配置模式下,输入 show security 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
配置相同的 IKE 预共享密钥
要配置 VPN 网关用于验证远程对等方身份验证的相同 IKE 预共享密钥,请执行这些任务。
- 在配备 AutoVPN 中心的设备中为 ike 策略配置公共
pre-shared-key配置。[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例如:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- 在 ike 策略上为远程对等设备配置通用
pre-shared-key配置。[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例如:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (可选)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [编辑安全 ike 网关gateway_name动态] 层次结构级别下配置
general-ikeid配置语句。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
结果
在配置模式下,输入 show security 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}