Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Schritt 2: Konfigurieren und Verifizieren eines IPsec-VPN

Es war ein großer Tag, wissen wir. Bevor Sie nach Hause gehen, gibt es noch eine Frage nach der neuen Zweigstelle. Sie müssen einen sicheren IPsec-VPN-Tunnel zum Remote-Büro einrichten. Dieser Tunnel ermöglicht es Mitgliedern der trust Zone, bestimmte Unternehmensressourcen im 172.16.200.0/24-Subnetz über das Internet sicher zu erreichen.

Sichere Tunnel sind ein Schlüsselmerkmal von SRX-Plattformen. Die Möglichkeit, sensiblen Datenverkehr über das öffentliche Internet zu senden, ohne Bedenken wegen Abhörens oder Datendiebstahls zu haben, ist keine leichte Aufgabe. Mit einem IPsec-VPN können Sie Datenverkehr sicher durch das öffentliche Internet tunneln. Da der Datenverkehr getunnelt wird, müssen Sie keine Quell-NAT durchführen.

Keine Sorge, wir machen Ihnen dies einfach!

In diesem Schritt erfahren Sie, wie Sie:

  • Konfigurieren von St0-Tunnel-Schnittstellen
  • Konfigurieren Sie statisches Routing, um den Datenverkehr in den IPsec-Tunnel zu leiten
  • Konfigurieren von IKE- und IPsec-Parametern für ein dynamisches routenbasiertes VPN
  • Passen Sie die Sicherheitsrichtlinien an, um sicherzustellen, dass nur Der Datenverkehr aus der Zone, der trust an 172.16.200.0/24 gesendet wird, an den IPsec-Tunnel angezeigt wird
  • Verwenden Sie junos CLI, um den IPsec-VPN-Betrieb zu überprüfen
Abbildung 1: Ein IPsec-VPN für sichere Zweigstellen- zu Remote-Office-Konnektivität An IPsec VPN for Secure Branch to Remote Office Connectivity

IPsec-VPN – Übersicht

In diesem Beispiel verwendet der Datenverkehr, der von der trust Zone an 172.16.200.0/24 gesendet wird, den IPsec-Tunnel. Dieser Datenverkehr umgeht die Quell-NAT und verlässt das Remote-Ende mit der ursprünglichen Quell-IP aus dem Subnetz 192.168.2.0/24 trust-vlan .

Der Tunnel arbeitet Punkt zu Punkt zwischen der Zweigstelle und dem Remote-Büro. Dadurch ist die IP-Adressenzuweisung optional. In diesem Beispiel weisen wir den Tunnelendpunkten Adressen zu, um Ping-Tests als Diagnosehilfe zu ermöglichen. An jedem Ende wird eine statische Route verwendet, um den Datenverkehr in den Tunnel zu leiten. Beachten Sie, dass die statische Route am Remote-Standort mit dem 192.168.2.0/24-Subnetz der trust Zone übereinstimmt. Sie müssen diese Adresse abgleichen, da die Quell-NAT für den Datenverkehr, der den Tunnel verwendet, nicht auftritt.

Hinweis:

Die Topologie zeigt eine Cloud zwischen Zweigstelle und Remote-Standort. In der Regel ist diese Cloud das Internet. Um die Anzahl der Geräte in unserer Topologie zu reduzieren, verfügen wir über eine direkte Verbindung zwischen zweigstellen und entfernten Standorten. Infolgedessen haben wir ein einzelnes 172.16.1.0/24-Subnetz, das die Internet-Cloud umspannt.

Das bedeutet, dass sich die beiden Endpunkte das 172.16.1.0/24-Subnetz teilen, wenn Sie später die lokalen und Remote-Gateways für Internet Key Exchange (IKE) definieren. Es gibt keine Unterschiede in Konfiguration oder Betrieb, wenn sich die IKE-Gateways in Remote-Subnetzen befinden. Die Angabe eines Remote-IKE-Gateways ist der typische Anwendungsfall, wenn die beiden Standorte intervenierende Hops über das Internet haben.