Phase 2Encapsulation (ESP or AH)ESPEncryption Algorithm3des-cbcAuthentication Algorithmhmac-sha1-96Perfect Forward SecrecyNo PFSLifetime (for renegotiation)28800
Thực hiện cấu hình
Cấu hình ROUTE
HEADset routing-options static route 17.16.1.0/24 next-hop st0.0
BRANCHset routing-options static route 10.1.1.0/24 next-hop st0.0Cấu hình tunnel interface
HEADroot@HEAD# set interfaces st0.0 family inet address 192.168.0.1/30
Branchroot@BRANCH# set interfaces st0.0 family inet address 192.168.0.2/30
Cấu hình ZONES INTERFACES ( config trên cả 2)
set security zones security-zone VPN host-inbound-traffic system-services allset security zones security-zone VPN host-inbound-traffic protocols allset security zones security-zone VPN interfaces st0.0Cấu hình POLICY INTERFACES ( config trên cả 2 )
set security policies default-policy permit-all
Cấu hình IKE proposal và IKE policy ( config trên cả 2 )
set security ike proposal OUR-IKE-PROPOSAL authentication-method pre-shared-keysset security ike proposal OUR-IKE-PROPOSAL dh-group group5set security ike proposal OUR-IKE-PROPOSAL authentication-algorithm sha-256set security ike proposal OUR-IKE-PROPOSAL encryption-algorithm 3des-cbcset security ike proposal OUR-IKE-PROPOSAL lifetime-seconds 86400
set security ike policy OUR-IKE-POLICY mode mainset security ike policy OUR-IKE-POLICY proposals OUR-IKE-PROPOSALset security ike policy OUR-IKE-POLICY pre-shared-key ascii-text 123@123a
Cấu hình SECURITY
HEADset security ike gateway OUR-IKE-GATEWAY ike-policy OUR-IKE-POLICYset security ike gateway OUR-IKE-GATEWAY address 2.2.2.2set security ike gateway OUR-IKE-GATEWAY external-interface ge-0/0/0.0
BRANCHset security ike gateway OUR-IKE-GATEWAY ike-policy OUR-IKE-POLICYset security ike gateway OUR-IKE-GATEWAY address 1.1.1.2set security ike gateway OUR-IKE-GATEWAY external-interface ge-0/0/0.0
Proposal (trên cả 2):set security ipsec proposal OUR-IPSEC-PROPOSAL protocol espset security ipsec proposal OUR-IPSEC-PROPOSAL authentication-algorithm hmac-sha1-96set security ipsec proposal OUR-IPSEC-PROPOSAL encryption-algorithm 3des-cbcset security ipsec proposal OUR-IPSEC-PROPOSAL lifetime-seconds 28800
Policy (trên cả 2):set security ipsec policy OUR-IPSEC-POLICY proposals OUR-IPSEC-PROPOSALset security ipsec vpn OUR-VPN bind-interface st0.0set security ipsec vpn OUR-VPN ike gateway OUR-IKE-GATEWAYset security ipsec vpn OUR-VPN ike ipsec-policy OUR-IPSEC-POLICYset security ipsec vpn OUR-VPN establish-tunnels immediately
Kiểm tra lại kết quả
Kiểm tra lại kết quả bằng việc sử dụng lệnh PING C:>ping 172.16.1.10 để kiểm tra hoặc có thể show bằng các câu lệnh :
show security ike security-associationsshow security ipsec security-associations
Lời Kết
Trên đây là hướng dẫn cấu hình IPSec VPN dựa trên định tuyến Site-to-Site trên Juniper SRX. Nếu có bất cứ khó khăn nào trong việc cấu hình có thể để lại bình luận dưới phần comment để được hỗ trợ hoặc có thể liên hệ trực tiếp với chúng tôi để được hỗ trợ.