SINFOR_IPSEC_跟JUNIPER设备进行第三方对接说明_20101111

SINFOR深圳深信服电子科技有限公司专题文档跟JUNIPER对接标准IPSEC（20090731）1.一些说明根据网络环境的不同，大致可以分为如下几种情况：1、双方均为固定公网IP；2、双方均为动态IP；3、一方为固定公网IP，一方为动态IP；4、双方均为固定IP，但均不是公网IP（路由模式部署，设备前面还有nat设备）；5、一方为固定IP，但不是公网IP，另一方为动态IP其中环境1既可以采用主模式部署，也可以采用野蛮模式部署；环境2不支持标准IPSEC的对接；环境3、4、5必须采用野蛮模式部署。JUNIPER的SSG系列设备的软件版本目前已测最高为6.0，SSG5.0版本因为JUNIPER用的是2001年的NATT草案而不是标准NATT方案，因此野蛮模式下无法互联（主模式未测试）。我们对接过5.4和6.0版本，野蛮模式均能正常互联。如果在野蛮模式下，JUNIPER设备的日志提示“unrecognizedpeergateway”，则肯定是双方的ID设置不匹配，改正确后就不会出现这种日志提示了。JUNIPER的IPSECVPN又分为2种不同的配置模式，一种称为基于策略的VPN，另一种是基于路由的VPN，实现的最终效果一样，只是配置过程有所不同。2.基于策略的VPN配置步骤下面以主模式详细分析配置步骤，在JUNIPER设备上大致分三步走：一、配置标准IPSECVPN第一阶段1.登录JUNIPER设备SINFOR深圳深信服电子科技有限公司专题文档进去后显示如下：2.点VPNs----》AutokeyAdvanced-----》Gateway，这里是配置标准IPSec第一阶段软件版本SINFOR深圳深信服电子科技有限公司专题文档3.点右上角的New，名字随便起，SecurityLevel选择custom，RemoteGatewayType我们选择staticIPaddress，输入对端设备IP，也就是我们AC设备上的公网IP4.点Advanced，设置presharedkey（预共享密钥），然后在里面选择第一阶段的参数，选择custom，加密方式选择pre-g2-3des-md5，也就是预共享密钥+组2+3des+md5，Mode选择main（主模式），该页其他参数保留默认值即可。SINFOR深圳深信服电子科技有限公司专题文档二、配置标准VPN第二阶段1.点VPNs---》AutokeyIKE，配置标准IPSec第二阶段2.点右上角的New，名字随便起，RemoteGateway选择之前我们定义好的第一阶段网关名字，这里为“广办”SINFOR深圳深信服电子科技有限公司专题文档3.再点击Advanced，SecurityLevel选择Custom，阶段2策略选择nopfs-esp-des-md5，表示没有完美向前保护+esp+des+md5，proxyid勾上，填上本地ip范围和对方ip范围，VPNMonitor也勾上，这样在JUNIPER上也能看到隧道的连接情况。该页其他选项保留就行了。SINFOR深圳深信服电子科技有限公司专题文档三、防火墙放通双向规则1.建立IP组，可以给一个段的IP设置一个名称，点击policy—》PolicyElements–》adress—》list—》new也可以设置多个IP段同属于一个IP组，policy—》PolicyElements–》adress—》group—》newSINFOR深圳深信服电子科技有限公司专题文档2.设置数据流向策略。点击Policies，选择UntrusttoTrustSINFOR深圳深信服电子科技有限公司专题文档点右上角的New，源地址为对方IP段，目标地址为本方IP段，其他保留，Action选择Tunnel，TunnelVPN选择你在AutoKeyIKE里设置的VPN通道。3.再选择TrusttoUntrust，新建一条反向的规则SINFOR深圳深信服电子科技有限公司专题文档3.只做通单向时，Action只显示一把锁做通双向时，显示的是双通的锁四、sinfor设备的配置，直接上图了SINFOR深圳深信服电子科技有限公司专题文档SINFOR深圳深信服电子科技有限公司专题文档SINFOR深圳深信服电子科技有限公司专题文档五、查看结果以上都配置完成后，你就可以看到两边已经正常连上了SINFOR深圳深信服电子科技有限公司专题文档3.基于路由的VPN配置步骤一、登录JUNIPER设备进去后显示如下：SINFOR深圳深信服电子科技有限公司专题文档点左边的Network---》interface，新建一个tunnel图中的tunnel2，就是新建的tunnel。我们点右上角的New，Zone选择Untrust，选择Unnumbered，接口选择对方JUNIPER设备的外网接口。SINFOR深圳深信服电子科技有限公司专题文档点保存，就新建了一个tunnel，等下再把这个tunnel和我们的VPN隧道结合起来。一个VPN隧道就必须要一个tunnel，不允许多个VPN隧道共用同一个tunnel。点VPNs----》AutokeyAdvanced-----》Gateway，这里是配置标准IPSec第一阶段点右上角的New，名字随便起，SecurityLevel选择custom，RemoteGatewayType我们选择dynamicIPaddress（因为是拨号），填入对端ID，格式为（一个完整的域名格式），配置好预共享密钥，本端ID也为（同样为一个完整的域名格式）SINFOR深圳深信服电子科技有限公司专题文档点Advanced，在里面选择第一阶段的参数，我们选择为pre-g2-3des-md5，也就是预共享密钥+组2+3des+md5，Mode选择Aggressive（野蛮模式），该页其他参数保留默认值即可。SINFOR深圳深信服电子科技有限公司专题文档点VPNs---》AutokeyIKE，配置标准IPSec第二阶段点右上角的New，名字随便起，SecurityLevel选择custom，RemoteGateway选择之前我们定义好的第一阶段网关名字，这里为chunshaSINFOR深圳深信服电子科技有限公司专题文档再点击Advanced，SecurityLevel选择Custom，阶段2策略选择nopfs-esp-des-md5，表示没有完美向前保护+esp+des+md5，Blindto选择我们之前新建的那个隧道tunnel2，proxyid勾上，填上本地ip范围和对方ip范围，VPNMonitor也勾上，这样在JUNIPER上也能看到隧道的连接情况。该页其他选项保留就行了。SINFOR深圳深信服电子科技有限公司专题文档点击Network----》Routing---》Destination，添加一条路由点右上角的New，IPAddress选择对方内网的IP网段，NextHop选择Gateway，Interface选择刚才的那条隧道。SINFOR深圳深信服电子科技有限公司专题文档二、Sinfor设备的配置，直接上图了SINFOR深圳深信服电子科技有限公司专题文档SINFOR深圳深信服电子科技有限公司专题文档SINFOR深圳深信服电子科技有限公司专题文档三、查看结果以上都配置完成后，你就可以看到两边已经正常连上了