一、环境说明

北京公司需要和上海分公司建立安全通信的×××,便于北京总公司与上海分公司资源共享安全。

需建立两条子网通道规划地址如下:

北京总公司地址规划:

外网接口地址:218.23.23.23/24

内部VLAN地址:10.0.0.0/24  10.0.1.0/24

     上海分公司地址规划:

外网接口地址:218.241.241.23/24

内部VLAN地址:172.173.0.0/24  172.173.3.0/24

二、开始配置IPsec ×××

北京总公司配置:

配置外网接口地址为非信任区218.23.23.23/24,内网地址为信任区

wKiom1kkH6-STdMlAAEOJyykhAY522.png-wh_50

wKioL1kkH9aDVuXiAADzSOi5lmE612.png-wh_50

在接口配置中选择Tunnel IF新建×××随道接口,注意此处的zong如选择信任区就不用配置策略,非信任则需要建立策略允许流量通过。

wKiom1kkIBfCEBfkAAD6Ir4EG-U569.png-wh_50

开始配置IPsec ×××隧道,第一阶段×××s > AutoKey Advanced > Gateway>new

随便起个名字,配置外网接口地址218.23.23.23/24,然后点Advanced

wKiom1kkIEfxmZXWAACBVXHDly8900.png-wh_50

配置预共享密钥要与对方相同,HD组为G2,加密算法为3des,认证算法为sha,如果建立多个通道可以在后面选择第二个的安全级别我在此配置了两个子网隧道如图:

wKioL1kkIHujjhSOAAExRQEb9zQ682.png-wh_50

配置第二阶段:×××s > AutoKey IKE>New,随便起个名,选择远程网关指定上面配置的第一个阶段网关名,然后点击Advanced

wKiom1kkILSAec0JAADCh9m_oi0530.png-wh_50

配置第二阶段的安全级别,选择用户自定义,指定协议为ESP,加密算法为3des,认证算法为SHA1,如果配置第二个通道也要在此接着配置第二阶段的安全级别,然后选择通道接口,勾选××× Monitor显示状态,return返回,OK确定。

wKiom1kkIN2yYUyLAADeReHdjSY051.png-wh_50

然后配置子网地址:×××s > AutoKey IKE选择配置的IKE,Proxy ID,然后配置本地子网段和对方子网段,选择服务为any所有,New新建,如图:wKioL1kkIUmgAzTlAABFesarlCo020.png-wh_50wKiom1kkIUniYc7fAACHHfSb_xE558.png-wh_50

wKioL1kkIUjDYCLiAADJqELmVM4638.png-wh_50

接着建立两条到达对方子网的路由就成功了:Network > Routing > Routing Entries>New,注意选择信任区,因为通道接口在信任区,如在非信任区就选择非信任区建立。

wKioL1kkIauxt8FmAAA1v3Zxz0A189.png-wh_50

配置到对方子网路由,选择网关为隧道接口地址,OK,如有多个子网需配置多个子网

wKiom1kkIfaCZhsSAACmahVT3kk411.png-wh_50

wKiom1kkI4exyO-fAAAPbRCc4d4546.png

在上海juniper网关上做同样的配置,把本地地址对换就行,其他都要相同。如果对端设备不是juniper防火墙,需要注意配置的地方:

1.网关接口地址对应上,子网也需要对应

2.第一阶段的预共享密钥相同,安全级别指定要匹配相同

3.第二阶段子网宣告对应,安全级别对应。

4.注意路由到达和允许本地子网到对方子网的策略

5.其他需要注意的拨号上网时配置网关时选择识别ID进行配置,选择野蛮模式。

6.如有疑问欢迎留言!