与Juniper防火墙做第三方IPSecVPN对接的一个案例

刚做的一个与Juniper防火墙做IPSecVPN对接案例，请大家做参考。

Juniper5GT防火墙IPSecVPN连接sangfor2050简介

1、VPN对接的网络环境介绍：

   ●作为总部，Sangfor2050以路由模式部署在互联网出口，有固定IP地址。

   ●作为分支（子公司或某公司），Juniper5GT部署在分支的内网，在Juniper5GT设备的外层，还要通过两个路由器才能到达电信的外网，即从Juniper设备发出的数据包要经过两次NAT才能到达电信公司的网络。

   注：我们这次的测试环境中，总部是比较简单的、大众化的网络环境。分支的网络环境较复杂，要经过两层路由器才能达到外网。

   注：如果贵公司部署的网络环境与本案例不同，设置可能会稍有变动，具体环境具体测试，但可参考本案例的设置方法。

   注：进行如下的VPN设置前，请先做好基础网络设置，保证内网PC能访问internet网，具体设置步骤不属于VPN设置的范畴，此文略过。

2、总部端Sangfor2050的设置，步骤如下：

   2.1选择菜单【IPSecVPN设置】- 【第三方对接】-【第一阶段】，点“新建”按钮，新增一个设备：

    在上图中，点“高级”按钮，进入下图的窗口：

   2.2【IPSecVPN设置】- 【第三方对接】-【第二阶段】配置入站策略、出站策略

3、分支端Juniper5GT设备的设置：

   3.1选择屏幕左侧的菜单【VPNs】-【Autokey-Advanced】-【gateway】，在页面上点击“new”按钮，新建一个网关。

点击上图中的”Advanced”按钮，进入下图的网关高级选项设置界面：

   3.2 选择菜单【VPNs】-【Autokey IKE】，新建一个VPN通道

    点击上图中的“Advanced”按钮，进入下图的VPN通道的高级选项设置窗口：

   3.3 选择菜单【Policies】，新建策略，放行VPN子网间的通讯。

       注：做本步前，须先在菜单【Objects】-【addresses】中定义两个IP地址网段对象：vpnlan_local表示“本地子网”，vpnlan_zb代表“总部子网”。

4、配置完成后，两端的设备状态。

    Juniper的VPN状态如下图，注意SA Status的状态是Active，说明VPN连接是激活的：

某公司-VPN2050的状态如下图，如未连接上，下图的连接明细信息中一行数据也没有：

    如果VPN两端的设备状态如上面2图所示，说明VPN的连接已经正常建立！

哇噻，超详细的案例！小伙伴们快来围观！

点赞！

不错不错，谢谢楼主

学习了

学习了，看到英文的设备头大

谢谢！刚才远程上客户的时候，一看juniper界面，懵了！这个正好用上，十分感谢楼主的分享。

学习学习。

学习学习

学习到了