一、環境說明
北京公司需要和上海分公司建立安全通信的***,便於北京總公司與上海分公司資源共享安全。
需建立兩條子網通道規劃地址如下:
北京總公司地址規劃:
外網接口地址:218.23.23.23/24
內部VLAN地址:10.0.0.0/24 10.0.1.0/24
上海分公司地址規劃:
外網接口地址:218.241.241.23/24
內部VLAN地址:172.173.0.0/24 172.173.3.0/24
二、開始配置IPsec ***
北京總公司配置:
配置外網接口地址爲非信任區218.23.23.23/24,內網地址爲信任區
在接口配置中選擇Tunnel IF新建***隨道接口,注意此處的zong如選擇信任區就不用配置策略,非信任則需要建立策略允許流量通過。
開始配置IPsec ***隧道,第一階段***s > AutoKey Advanced > Gateway>new
隨便起個名字,配置外網接口地址218.23.23.23/24,然後點Advanced
配置預共享密鑰要與對方相同,HD組爲G2,加密算法爲3des,認證算法爲sha,如果建立多個通道可以在後面選擇第二個的安全級別我在此配置了兩個子網隧道如圖:
配置第二階段:***s > AutoKey IKE>New,隨便起個名,選擇遠程網關指定上面配置的第一個階段網關名,然後點擊Advanced
配置第二階段的安全級別,選擇用戶自定義,指定協議爲ESP,加密算法爲3des,認證算法爲SHA1,如果配置第二個通道也要在此接着配置第二階段的安全級別,然後選擇通道接口,勾選*** Monitor顯示狀態,return返回,OK確定。
然後配置子網地址:***s > AutoKey IKE選擇配置的IKE,點Proxy ID,然後配置本地子網段和對方子網段,選擇服務爲any所有,New新建,如圖:
接着建立兩條到達對方子網的路由就成功了:Network > Routing > Routing Entries>New,注意選擇信任區,因爲通道接口在信任區,如在非信任區就選擇非信任區建立。
配置到對方子網路由,選擇網關爲隧道接口地址,OK,如有多個子網需配置多個子網
在上海juniper網關上做同樣的配置,把本地地址對換就行,其他都要相同。如果對端設備不是juniper防火牆,需要注意配置的地方:
1.網關接口地址對應上,子網也需要對應
2.第一階段的預共享密鑰相同,安全級別指定要匹配相同
3.第二階段子網宣告對應,安全級別對應。
4.注意路由到達和允許本地子網到對方子網的策略
5.其他需要注意的撥號上網時配置網關時選擇識別ID進行配置,選擇野蠻模式。
6.如有疑問歡迎留言!