AF版本8.0.6
Juniper版本SSG550
开始干活
配置AF
准备配置某公司这边的设备,配置的话都在第三方对接这里配置。
第一阶段协商
认证方式这边我是选用的预共享密钥,要和Juniper那边的一样。
说明一下:线路这里要绑定出口的网卡线路,在物理接口那里配置,基本属性那里勾上IPsecvpn线路匹配就绑定出接口。
然后高级设置算法
DH 认证加密算法两端要一致。
因为第二阶段协商要用到安全选项,所以先配置安全选项。
这里IPsec协议建议采用ESP封装,同样的认证和加密算法要和对端一致。
最后一步配置第二阶段,也就是要保护的隧道子网。
入站策略:也就是对方保护的私网地址
对端设备这里,就第二阶段协商用到的安全选项,就选择刚才配置的安全选项就OK。
出站策略,也就是我方的本地子网
生存时间同样保证和Juniper一致。
配置Juniper
AF这边IPSEC部分就配置完了,看下SSG550的配置,配置思路也和AF一样,只是过程是英文。
第一阶段配置:
然后点红色那里进入高级设置
共享密钥,DPD,加密认证算法和AF配置一致。
然后配置第二阶段协商
进入autokeyike
新建
选择第一阶段协商的通道然后点击高级advanced进入第二阶段协商配置
同样选择入接口和算法,加密认证和AF那边一致
然后绑定要保护的子网,点击proxyID进行选择
localip 就是本地保护的子网,remoteip就是对端的子网,填好了点击new就OK加入进去了
好了ipsec的配置就配置完毕了,最后一步配置policy,放通本端和对端子网的访问策略控制
同样的AF也需要放通两个子网之间的访问策略控制,大家经常用AF肯定也非常熟悉我就不贴了。
可以看到隧道已经起来了,
。
总结:AF和Juniper ipsec配置,两个的配置步骤和操作地方不一样。万变不离其宗,都是基于标准的IPSEC协议来配置,只要理解了ipsec两个阶段的协商过程,自然就知道如何配置了,掌握原理很重要。
发表于 2019-10-11 11:57
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
