示例:使用预共享密钥配置 AutoVPN
此示例说明如何配置由 VPN 网关用于对远程对等方进行身份验证的不同 IKE 预共享密钥。同样,配置由 VPN 网关用于对远程对等方进行身份验证的同一 IKE 预共享密钥。
要求
此示例使用以下硬件和软件组件:
- MX240、MX480 和 MX960 以及支持 AutoVPN 的 MX-SPC3 和 Junos OS 21.1R1 版
- 或 SRX5000 系列设备,支持 AutoVPN 的 SPC3 和 Junos OS 21.2R1 版
- 或 vSRX,运行 iked 和支持 AutoVPN 的 Junos OS 21.2R1 版
配置不同的 IKE 预共享密钥
要配置 VPN 网关用于验证远程对等方的不同 IKE 预共享密钥,请执行这些任务。
- 在具有 AutoVPN 中枢的设备中配置种子预共享的 IKE 策略。
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
或
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
例如:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
或
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- 在远程对等设备上的 ike 策略中配置生成的 PSK(“79e4ea39f5c06834a3c4c031e37c6de24d46798a”)
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
例如:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (可选)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [编辑安全 ike 网关gateway_name动态] 层次结构级别下配置
general-ikeid
配置语句。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
结果
在配置模式下,输入 show security 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit] user@host> show security ike { proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; lifetime-seconds 750; } policy IKE_POL { proposals IKE_PROP; seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA } gateway HUB_GW { ike-policy IKE_POL; dynamic { general-ikeid; ike-user-type group-ike-id; } local-identity hostname hub.juniper.net; external-interface lo0.0; local-address 11.0.0.1; version v2-only; } }
配置相同的 IKE 预共享密钥
要配置 VPN 网关用于验证远程对等方身份验证的相同 IKE 预共享密钥,请执行这些任务。
- 在配备 AutoVPN 中心的设备中为 ike 策略配置公共
pre-shared-key
配置。[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例如:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- 在 ike 策略上为远程对等设备配置通用
pre-shared-key
配置。[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
例如:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (可选)要绕过 IKE ID 验证并允许所有 IKE ID 类型,请在网关的 [编辑安全 ike 网关gateway_name动态] 层次结构级别下配置
general-ikeid
配置语句。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
结果
在配置模式下,输入 show security 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit] user@host> show security ike { proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; lifetime-seconds 750; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA } gateway HUB_GW { ike-policy IKE_POL; dynamic { general-ikeid; ike-user-type group-ike-id; } local-identity user-at-hostname user1@juniper.net; external-interface lo0; local-address 11.0.0.1; version v2-only; } }