juniper防火牆配置IPSEC ***有兩種方式:一種基於策略,一種基於路由,下面介紹下基於路由的IPSEC ***:
一、環境:
總部juniper防火牆Ip是由邊緣防火牆mip一個公網地址(如:2.2.2.2)—私網地址(10.181.x.x)的,分支機構ADSL網絡
二、總部IPSEC ***配置:
1、新建通道接口:
2、 建立第一階段協商:***S>AutoKey Advanced>Gateway>Edit
點高級:因爲總部的防火牆不是直接在外網的所以要勾選NAT穿透功能
3、 第二階段協商:***s>AutoKey IKE>Edit
點高級,選擇協商方式及綁定接口:
4、 創建策略:trust---untrust
Untrust—trust:
5、 增加路由:網關選擇通道接口
增加備份路由:網關選擇null
三、分支機構IPSEC ***配置:
1、新建通道接口:
2、 建立第一階段協商:***S>AutoKey Advanced>Gateway>Edit
點高級進入第一階段協商參數設置:
3、 第二階段協商:***s>AutoKey IKE>Edit
點高級,選擇協商方式及綁定接口:
4、 創建策略:trust---untrust
策略untrust—trust:
5、 增加路由:網關選擇通道接口
增加備份路由:網關選擇null
至此,基於路由的IPSEC ***就配置完成了!經測試OK!如有批漏之處請多多請點!