目的:使用
IPSEC ***
的方式连接两个办公区域。
设备:
Juniper
、飞鱼星
V1000
非同厂商设备。
起因:新办公区域没有采购网络设备的预算,手头只有一台飞鱼星V1000。起初准备用RouterOS来做,不过购买许可会产生额外费用,因此只能使用手头已经资源来搭建。
本文对于不熟悉Juniper设备的同学有一定的参考意义。Juniper是一个很早做***和防火墙的厂商,其产品在规则设置这一块非常全面。
注:本文的图片均是高清大图,火狐中右键点击选择查看图片可以看到未压缩的图,360浏览器中需要按住图片,拖动一下,也可以看到原始大图。
1、
建立***
网关
***s
→
AutoKey Advanced
→
GateWay
建立一个新的网关,地址为对端的防火墙地址。
![](../attachment/201108/132509522.png)
网关地址可以任意填写,最好是填写具有实际意义的说明文字,安全级别使用
Custom
;网关类型使用固定
IP
(这种方式适用于使用光纤接入的办公区域),
IP
地址填写对端防火墙地址,这次所填写的是飞鱼星
V1000
的外网地址。
Preshared Key
填写任意字符作为密钥,对端设置时需要输入同样的内容。由于我们主要拿光环新网做
***
的负载,因此
Outgoing Interface
需要选择
Ethemet 3
。
![](../attachment/201108/132904764.png)
点击高级进入下一个设置菜单。选择
Phase 1 Proposal
的安全模式,有
4
个框,只需要选择一种即可。我们使用
Pre-g2-3des-md5.
意为
IKE DH Group2
;
IKE
加密使用
3DES
,
IKE
认证使用
MD5
。对端设备需要做同样设置。其他如下图所示勾选即可。
![](https://i-blog.csdnimg.cn/blog_migrate/a675468f58c9b75899eba4d12fb6cb54.png)
2、
建立AutoKey IkE
***s
→
AutoKey IKE
,建立一个新的
autokey ike
。
![](https://i-blog.csdnimg.cn/blog_migrate/b0f3f732128381b920cad651b8778351.png)
操作之前需要建立两个地址池,分别为本地内网
IP
池、对端内网
IP
池。
Objects
→
Address
→
List
,在
Untrust
(非信任)区域新建一个
IP
。
![](https://i-blog.csdnimg.cn/blog_migrate/66b45bbcc9e6c722d533299dd6ae4deb.png)
地址名称可以随意写,最好起一个有明确意义的。
IP
地址和掩码这里写的是
192.168.0.0/16
,也可以写
192.168.0.0/255.255.0.0
;区域是
Untrust
。同样方法再设置一个对端的
IP192.168.30.0/24
之所以这么设置,是和我们公司的网络架构有关的,新办公区域使用192.168.30.x的IP段,老办公区域是192.168.0/1/2/3/4/5.0这些网段,为了让他们通信,老办公区域的IP段就是192.168.0.0/16.如何设置IP,主要还是根据架构需要。
![](https://i-blog.csdnimg.cn/blog_migrate/58f87a7c2f04484cc0192928e6ebbafb.png)
地址设置好后返回
IKE
,进行设置,这时新建
IKE
的时候就可以选择之前设置的网关(
Tengda11F
)了。
![](https://i-blog.csdnimg.cn/blog_migrate/38b3872040157c3a321ccfb7b67fcc7b.png)
继续点高级,进行后续操作。设置
Phase 2 Proposal
的安全为
g2-esp-3des-md5
,它表示
ipsec
加密使用
esp-3des
;
ipsec
数据认证使用
MD5
。之所以这样选择是部分
***
设备会将这个作为默认值。之下的
IP
地址和掩码也根据地址池的相关信息来填写。
![](https://i-blog.csdnimg.cn/blog_migrate/4b0a00434c5a87fd6b3f7405a6d84b41.png)
3、 建立***规则
在
Policies
下建立
***
规则。方向为
trust
到
Untrust
。也就是可信区域到非可信区域,在别的防火墙里,差不多就是内网到外网方向的规则。
![](https://i-blog.csdnimg.cn/blog_migrate/e20ff7e5b12cba75c79681a426b38583.png)
源地址为远端地址、目的地址为本地地址。动作选择
Tunnel(就是***通道)
,
***
选择之前建立的相应
IKE
。一定要勾选
Modify Matching Bidrectional *** Policy
。这表示同样建立一条反方向的
***
规则。可以节省手动选择的时间。
![](https://i-blog.csdnimg.cn/blog_migrate/df28aeaa96cab1400d66b74ce06cc2de.png)
4、 建立路由。
因为公司是双线路接入的网络环境,需要单独增
加一条路由。如果你们的环境是单线接入,那么不用做这条路由。他的作用就是指明***从哪条线路过去。
Network
→
Routing
→
Destination
,
![](https://i-blog.csdnimg.cn/blog_migrate/428f48b9b3b67a2291a0367ca65ee99e.png)
新增的路由如下设置。
IP
地址填写对端的内网
IP
和范围。
Next hop
使用网关,接口选
3
(光环)
,IP
地址填写
203.x.x.129
,这个地址是公司飞塔设备的网关。由于公司网络环境特殊,因此必须指定这条路由。
![](https://i-blog.csdnimg.cn/blog_migrate/9beea06e397cb32bc0e86cf01ed09ac9.png)
![](https://i-blog.csdnimg.cn/blog_migrate/66396e3939061f24181f68638654322a.png)
5、 对端飞鱼星设置
如下图所示开启
IPSEC
的站点到站点功能。
![](https://i-blog.csdnimg.cn/blog_migrate/c53c359cd963279731b7b405bc94b373.png)
在列表中新建一条
***
,根据图示内容填写。这些内容在
Juniper
上已经有所体现。
、
![](https://i-blog.csdnimg.cn/blog_migrate/7b9202d4d53d64df2db396336a4e8c83.png)
![](https://i-blog.csdnimg.cn/blog_migrate/6bf3dacf0fdc2eb16863c5105c39c151.png)
6、 检查是否通信
在飞鱼星和
Juniper
的
***s
→
Monitor Status
上均可正常查看到
***
的连接状态,只要两端连接方式和密钥一致,就可以通信成功。事实上哪怕这里显示不通也无所谓,因为网络和防火墙等的缘故,这个链接不见得就是可靠的。最稳妥的方法还是两边的机器互相用 内网地址访问一下。能访问,才算活干完。
![](https://i-blog.csdnimg.cn/blog_migrate/c20444662183a8c5dab8e7ea1b11f4c9.png)
![](https://i-blog.csdnimg.cn/blog_migrate/617dee5eba60f6fe20f8a6e571490108.png)