Juniper与其他设备建立IPSec ***通信
本文共 2052 字,大约阅读时间需要 6 分钟。
目的:使用 IPSEC *** 的方式连接两个办公区域。
设备: Juniper 、飞鱼星 V1000 非同厂商设备。
起因:新办公区域没有采购网络设备的预算,手头只有一台飞鱼星V1000。起初准备用RouterOS来做,不过购买许可会产生额外费用,因此只能使用手头已经资源来搭建。
本文对于不熟悉Juniper设备的同学有一定的参考意义。Juniper是一个很早做***和防火墙的厂商,其产品在规则设置这一块非常全面。
注:本文的图片均是高清大图,火狐中右键点击选择查看图片可以看到未压缩的图,360浏览器中需要按住图片,拖动一下,也可以看到原始大图。
1、 建立*** 网关
***s → AutoKey Advanced → GateWay 建立一个新的网关,地址为对端的防火墙地址。
网关地址可以任意填写,最好是填写具有实际意义的说明文字,安全级别使用 Custom ;网关类型使用固定 IP (这种方式适用于使用光纤接入的办公区域), IP 地址填写对端防火墙地址,这次所填写的是飞鱼星 V1000 的外网地址。 Preshared Key 填写任意字符作为密钥,对端设置时需要输入同样的内容。由于我们主要拿光环新网做 *** 的负载,因此 Outgoing Interface 需要选择 Ethemet 3 。 
点击高级进入下一个设置菜单。选择 Phase 1 Proposal 的安全模式,有 4 个框,只需要选择一种即可。我们使用 Pre-g2-3des-md5. 意为 IKE DH Group2 ; IKE 加密使用 3DES , IKE 认证使用 MD5 。对端设备需要做同样设置。其他如下图所示勾选即可。
2、 建立AutoKey IkE
***s → AutoKey IKE ,建立一个新的 autokey ike 。
操作之前需要建立两个地址池,分别为本地内网 IP 池、对端内网 IP 池。
Objects → Address → List ,在 Untrust (非信任)区域新建一个 IP 。
地址名称可以随意写,最好起一个有明确意义的。 IP 地址和掩码这里写的是 192.168.0.0/16 ,也可以写 192.168.0.0/255.255.0.0 ;区域是 Untrust 。同样方法再设置一个对端的 IP192.168.30.0/24
之所以这么设置,是和我们公司的网络架构有关的,新办公区域使用192.168.30.x的IP段,老办公区域是192.168.0/1/2/3/4/5.0这些网段,为了让他们通信,老办公区域的IP段就是192.168.0.0/16.如何设置IP,主要还是根据架构需要。
地址设置好后返回 IKE ,进行设置,这时新建 IKE 的时候就可以选择之前设置的网关( Tengda11F )了。
继续点高级,进行后续操作。设置 Phase 2 Proposal 的安全为 g2-esp-3des-md5 ,它表示 ipsec 加密使用 esp-3des ; ipsec 数据认证使用 MD5 。之所以这样选择是部分 *** 设备会将这个作为默认值。之下的 IP 地址和掩码也根据地址池的相关信息来填写。
3、 建立***规则
在 Policies 下建立 *** 规则。方向为 trust 到 Untrust 。也就是可信区域到非可信区域,在别的防火墙里,差不多就是内网到外网方向的规则。
源地址为远端地址、目的地址为本地地址。动作选择 Tunnel(就是***通道) , *** 选择之前建立的相应 IKE 。一定要勾选 Modify Matching Bidrectional *** Policy 。这表示同样建立一条反方向的 *** 规则。可以节省手动选择的时间。
4、 建立路由。
因为公司是双线路接入的网络环境,需要单独增
加一条路由。如果你们的环境是单线接入,那么不用做这条路由。他的作用就是指明***从哪条线路过去。
Network → Routing → Destination ,
新增的路由如下设置。 IP 地址填写对端的内网 IP 和范围。 Next hop 使用网关,接口选 3 (光环) ,IP 地址填写 203.x.x.129 ,这个地址是公司飞塔设备的网关。由于公司网络环境特殊,因此必须指定这条路由。
5、 对端飞鱼星设置
如下图所示开启 IPSEC 的站点到站点功能。
在列表中新建一条 *** ,根据图示内容填写。这些内容在 Juniper 上已经有所体现。
、 
6、 检查是否通信
在飞鱼星和 Juniper 的 ***s → Monitor Status 上均可正常查看到 *** 的连接状态,只要两端连接方式和密钥一致,就可以通信成功。事实上哪怕这里显示不通也无所谓,因为网络和防火墙等的缘故,这个链接不见得就是可靠的。最稳妥的方法还是两边的机器互相用 内网地址访问一下。能访问,才算活干完。
转载地址:http://uyuqa.baihongyu.com/
你可能感兴趣的文章
iOS开发小技巧--利用MJExtension解决数据结构复杂的模型转换
查看>>
Python中的图形库
查看>>
Linux操作系统分析 ------------------中国科技大学
查看>>
Apache多站点实现原理和配置
查看>>
javascript类型系统——包装对象
查看>>
Android4.4中不能发送SD卡就绪广播
查看>>
解决:sudo: 无法解析主机:dinphy-500-310cn: 连接超时
查看>>
Asp.Net多线程用法1
查看>>
exFAT是支持Mac和Win的
查看>>
(转)postman中 form-data、x-www-form-urlencoded、raw、binary的区别
查看>>
js Date操作
查看>>
判断用户密码是否在警告期内(学习练习)
查看>>
sp_executesql的执行计划会被重用(转载)
查看>>
禅道项目管理软件插件开发
查看>>
Linux系统各发行版镜像下载
查看>>
JS获取键盘按下的键值event.keyCode,event.charCode,event.which的兼容性
查看>>
查看ORACLE 数据库及表信息
查看>>
腾讯、百度、阿里面试经验—(1) 腾讯面经
查看>>
Codeforces Round #374 (Div. 2) D. Maxim and Array 贪心
查看>>
HTML DOM 教程Part1
查看>>