业务需要,做个IPSec,本来想做传统的基于策略的IPsec,后面想了下还是做基于虚拟隧道的IPSec*后续方便扩展。这种不同厂商设备做 威皮N 本来就各种问题,做之前就心有揣之。
果不其然配置过程遇到几个问题,找了厂家,厂家回复说很少做基于虚拟隧道的*,一时半会找不到问题,后续还是自己一步步排查**
H3C路由配置:
配置第一阶段协商参数比较重要,华三路由器有默认的,但是不同厂商之间默认参数有时候会对不上
ike local-name h3c //设置本地ID
ike proposal 20 //配置第一阶段参数
dh group2
authentication-algorithm md5
encryption-algorithm des-cbc
authentication-method pre-share
ike peer juniperfw //配置对等体,因为本端ADSL无固定IP,本地ID跟对端ID 要两端匹配上
exchange-mode aggressive
proposal 20
pre-shared-key cipher 123456
id-type name
remote-name juniper
local-name h3c
ipsec transform-set method1 //配置二阶段参数
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
ipsec profile tojuniper
ike-peer juniperfw
transform-set method1
interface Tunnel10
ip address 1.1.1.1 255.255.255.252
tunnel-protocol ipsec ipv4
source Dialer10 //引用拨号口
destination <对端公网IP>
ipsec profile tojuniper
ip route-static 172.31.1.1 255.255.255.0 Tunnel10
Juniper 配置:
创建tunnel口,IP地址跟对端对上
配置Ipsec 网关:
对端是adsl无固定地址,选择Dynamic IPaddress (peer ID 要对上对端的配置)
点高级,local ID 也要两端对上 ,出接口选对,阶段1 proposal 要跟对端proposal匹配上,选择野蛮模式 郑州不孕不育医院:http://jbk.39.net/yiyuanzaixian/zztjyy/郑州不孕不育医院哪家好:http://jbk.39.net/yiyuanzaixian/zztjyy/郑州不孕不育医院排行:http://jbk.39.net/yiyuanzaixian/zztjyy/
页面选择s-AutoKEY IKE : 创建IKE 这里设置阶段2的参数:
点高级:阶段2参数两端一致 , 选择tunnel接口
最后写上duidu对端路由指向 tunnel口 ,然后配置放行策略。