×

#原创分享#AF8.0.6对接JuniperSSG550ipsec
  

静态路由 4265

{{ttag.title}}

     70周年保障为了不出事,封网加停业务,所有的需求的堆到国庆后了,这两天忙死了,下面记录分享下昨天实现的新需求。
     新开一个渠道业务,通过互联网传输数据,利用ipsec来保障数据安全。对端是Juniper的设备,Juniper的设备平时我接触的不多,正好有这个需求记录分享下,免得以后忘记怎么操作了。
    简化拓扑如下:服务器A和服务器B互相传输数据,分别通过某公司AF和Juniper,采用ipsecVPN在互联网传输。

AF版本8.0.6
Juniper版本SSG550
开始干活
配置AF

准备配置某公司这边的设备,配置的话都在第三方对接这里配置。

第一阶段协商
认证方式这边我是选用的预共享密钥,要和Juniper那边的一样。
说明一下:线路这里要绑定出口的网卡线路,在物理接口那里配置,基本属性那里勾上IPsecvpn线路匹配就绑定出接口。
然后高级设置算法
DH  认证加密算法两端要一致。

因为第二阶段协商要用到安全选项,所以先配置安全选项。
这里IPsec协议建议采用ESP封装,同样的认证和加密算法要和对端一致。

最后一步配置第二阶段,也就是要保护的隧道子网。
入站策略:也就是对方保护的私网地址
对端设备这里,就第二阶段协商用到的安全选项,就选择刚才配置的安全选项就OK。

出站策略,也就是我方的本地子网
生存时间同样保证和Juniper一致。
配置Juniper
AF这边IPSEC部分就配置完了,看下SSG550的配置,配置思路也和AF一样,只是过程是英文。
第一阶段配置:
然后点红色那里进入高级设置
共享密钥,DPD,加密认证算法和AF配置一致。

然后配置第二阶段协商
进入autokeyike
新建
选择第一阶段协商的通道然后点击高级advanced进入第二阶段协商配置

同样选择入接口和算法,加密认证和AF那边一致

然后绑定要保护的子网,点击proxyID进行选择

localip 就是本地保护的子网,remoteip就是对端的子网,填好了点击new就OK加入进去了

好了ipsec的配置就配置完毕了,最后一步配置policy,放通本端和对端子网的访问策略控制
同样的AF也需要放通两个子网之间的访问策略控制,大家经常用AF肯定也非常熟悉我就不贴了。
可以看到隧道已经起来了,

      总结:AF和Juniper ipsec配置,两个的配置步骤和操作地方不一样。万变不离其宗,都是基于标准的IPSEC协议来配置,只要理解了ipsec两个阶段的协商过程,自然就知道如何配置了,掌握原理很重要。
   

891365d9ef7c298775.png (48.73 KB, 下载次数: 269)

891365d9ef7c298775.png

394825d9fe7e1f0851.png (58.89 KB, 下载次数: 239)

394825d9fe7e1f0851.png

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

阿威十八式 发表于 2024-9-17 09:42
  
感谢分享,学习一下~
西红柿煮番茄的猫 发表于 2024-8-22 09:50
  
感谢分享,学习一下~
屁屁我很忙 发表于 2024-5-31 09:46
  
非常好的实践教程,谢谢分享
4991 发表于 2021-2-4 19:19
  
谢谢分享,有助工作。
新手690943 发表于 2021-1-28 09:54
  

感谢作者分享,步骤写的很详细
DOI 发表于 2019-10-16 20:14
  
配置步骤很详细,楼主知识掌握很牢
城北徐公 发表于 2019-10-16 14:49
  
这种对接第三方设备的帖子很棒,毕竟客户环境多种多样,收藏了,以后用得着
marco 发表于 2019-10-16 09:36
  
感谢分享,又学到不少新的知识了。
tyr 发表于 2019-10-15 09:51
  
感谢分享
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术盲盒
【 社区to talk】
技术笔记
干货满满
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
技术争霸赛
「智能机器人」
以战代练
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
6
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人