Fortigate Juniper SSG IPsec-VPN 设置手册

目录

• 前言
• 准备工作
• Fortigate 配置
  • 定义 IKE 策略
  • 定义 IPsec 策略
  • 创建 VPN 接口
  • 配置路由
• Juniper SSG 配置
  • 定义 IKE 策略
  • 定义 IPsec 策略
  • 创建 VPN 接口
  • 配置路由
• 验证 VPN 连接
• 常见问题 FAQ

前言

Fortigate 和 Juniper SSG 是业界广泛使用的防火墙设备,它们之间通过 IPsec VPN 隧道进行安全通信是一种常见的应用场景。本文将详细介绍如何在 Fortigate 和 Juniper SSG 之间建立 IPsec VPN 隧道的具体配置步骤。

准备工作

在开始配置之前,请确保您已经完成以下准备工作:

• 确保 Fortigate 和 Juniper SSG 设备已正确接入网络并能够 Ping 通彼此
• 获取 Fortigate 和 Juniper SSG 设备的 IP 地址、子网掩码等基本信息
• 确定 IKE 和 IPsec 的加密算法、密钥等参数

Fortigate 配置

定义 IKE 策略

1. 登录 Fortigate 管理界面,进入 VPN > IPsec Wizard
2. 选择 Custom Design 模式,点击 Create New
3. 在 VPN Setup 页面,填写 VPN 隧道的基本信息,如 VPN Name、Remote Gateway(Juniper SSG IP 地址)等
4. 在 IKE 选项卡中,配置 IKE 策略的参数,如加密算法、认证算法、DH 组等
5. 点击 OK 保存配置

定义 IPsec 策略

1. 在 IPsec Tunnel 选项卡中,配置 IPsec 策略的参数,如加密算法、认证算法、SA 生命周期等
2. 在 Routing 选项卡中,配置 VPN 隧道的路由信息
3. 点击 OK 保存配置

创建 VPN 接口

1. 进入 Network > Interfaces，点击 Create New
2. 在 General 选项卡中,配置接口的基本信息,如 Interface Name、Alias、IP/Netmask 等
3. 在 Addressing 选项卡中,配置 VPN 隧道的本地 IP 地址
4. 点击 OK 保存配置

配置路由

1. 进入 Network > Static Routes，点击 Create New
2. 在 Destination 字段中,输入 Juniper SSG 所在网段的网段地址和掩码
3. 在 Interface 字段中,选择刚刚创建的 VPN 接口
4. 点击 OK 保存配置

Juniper SSG 配置

定义 IKE 策略

1. 登录 Juniper SSG 管理界面,进入 Network > VPN > AutoKey IKE
2. 点击 New 创建 IKE 策略
3. 在 IKE Gateway 选项卡中,配置 IKE 策略的参数,如加密算法、认证算法、DH 组等
4. 点击 OK 保存配置

定义 IPsec 策略

1. 在 IPsec Proposals 选项卡中,配置 IPsec 策略的参数,如加密算法、认证算法、SA 生命周期等
2. 点击 OK 保存配置

创建 VPN 接口

1. 进入 Network > Interfaces，点击 New
2. 在 General 选项卡中,配置接口的基本信息,如 Name、IP Address、Netmask 等
3. 在 VPN 选项卡中,选择刚刚创建的 IKE 和 IPsec 策略
4. 点击 OK 保存配置

配置路由

1. 进入 Network > Routing，点击 New
2. 在 Destination 字段中,输入 Fortigate 所在网段的网段地址和掩码
3. 在 Interface 字段中,选择刚刚创建的 VPN 接口
4. 点击 OK 保存配置

验证 VPN 连接

完成上述配置步骤后,您可以在 Fortigate 和 Juniper SSG 设备上分别进行 VPN 隧道的验证,确保两端设备能够成功建立 IPsec VPN 连接。

常见问题 FAQ

Q1: 如何查看 Fortigate 和 Juniper SSG 设备之间 VPN 隧道的状态?

A1: 在 Fortigate 设备上,您可以进入 VPN > Monitor 页面查看 VPN 隧道的状态。在 Juniper SSG 设备上,您可以进入 Network > VPN > Monitor 页面查看 VPN 隧道的状态。

Q2: 如果 Fortigate 和 Juniper SSG 设备之间的 VPN 隧道无法建立,应该如何排查问题?

A2: 首先确保 Fortigate 和 Juniper SSG 设备的 IP 地址、子网掩码等基本信息配置正确。其次,检查 IKE 和 IPsec 策略的参数是否一致,如加密算法、认证算法、密钥等。如果仍无法解决,可以尝试检查防火墙策略是否阻挡了 VPN 流量,或者检查 VPN 隧道两端的路由配置是否正确。

Q3: Fortigate 和 Juniper SSG 设备之间的 VPN 连接是否支持主动/被动模式?

A3: Fortigate 和 Juniper SSG 设备之间的 VPN 连接支持主动/被动模式。在 Fortigate 设备上,您可以将 Remote Gateway 设置为 Juniper SSG 设备的 IP 地址,从而主动发起 VPN 连接。而在 Juniper SSG 设备上,您可以配置 VPN 接口以被动方式接受来自 Fortigate 的 VPN 连接请求。

Q4: 如何查看 Fortigate 和 Juniper SSG 设备之间 VPN 隧道的流量统计?

A4: 在 Fortigate 设备上,您可以进入 VPN > Monitor 页面查看 VPN 隧道的流量统计信息。在 Juniper SSG 设备上,您可以进入 Network > VPN > Monitor 页面查看 VPN 隧道的流量统计信息。