×

#原创分享#AF8.0.6对接JuniperSSG550ipsec
  

静态路由 4320

{{ttag.title}}

     70周年保障为了不出事,封网加停业务,所有的需求的堆到国庆后了,这两天忙死了,下面记录分享下昨天实现的新需求。
     新开一个渠道业务,通过互联网传输数据,利用ipsec来保障数据安全。对端是Juniper的设备,Juniper的设备平时我接触的不多,正好有这个需求记录分享下,免得以后忘记怎么操作了。
    简化拓扑如下:服务器A和服务器B互相传输数据,分别通过某公司AF和Juniper,采用ipsecVPN在互联网传输。

AF版本8.0.6
Juniper版本SSG550
开始干活
配置AF

准备配置某公司这边的设备,配置的话都在第三方对接这里配置。

第一阶段协商
认证方式这边我是选用的预共享密钥,要和Juniper那边的一样。
说明一下:线路这里要绑定出口的网卡线路,在物理接口那里配置,基本属性那里勾上IPsecvpn线路匹配就绑定出接口。
然后高级设置算法
DH  认证加密算法两端要一致。

因为第二阶段协商要用到安全选项,所以先配置安全选项。
这里IPsec协议建议采用ESP封装,同样的认证和加密算法要和对端一致。

最后一步配置第二阶段,也就是要保护的隧道子网。
入站策略:也就是对方保护的私网地址
对端设备这里,就第二阶段协商用到的安全选项,就选择刚才配置的安全选项就OK。

出站策略,也就是我方的本地子网
生存时间同样保证和Juniper一致。
配置Juniper
AF这边IPSEC部分就配置完了,看下SSG550的配置,配置思路也和AF一样,只是过程是英文。
第一阶段配置:
然后点红色那里进入高级设置
共享密钥,DPD,加密认证算法和AF配置一致。

然后配置第二阶段协商
进入autokeyike
新建
选择第一阶段协商的通道然后点击高级advanced进入第二阶段协商配置

同样选择入接口和算法,加密认证和AF那边一致

然后绑定要保护的子网,点击proxyID进行选择

localip 就是本地保护的子网,remoteip就是对端的子网,填好了点击new就OK加入进去了

好了ipsec的配置就配置完毕了,最后一步配置policy,放通本端和对端子网的访问策略控制
同样的AF也需要放通两个子网之间的访问策略控制,大家经常用AF肯定也非常熟悉我就不贴了。
可以看到隧道已经起来了,

      总结:AF和Juniper ipsec配置,两个的配置步骤和操作地方不一样。万变不离其宗,都是基于标准的IPSEC协议来配置,只要理解了ipsec两个阶段的协商过程,自然就知道如何配置了,掌握原理很重要。
   

891365d9ef7c298775.png (48.73 KB, 下载次数: 272)

891365d9ef7c298775.png

394825d9fe7e1f0851.png (58.89 KB, 下载次数: 242)

394825d9fe7e1f0851.png

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

新手601896 发表于 2019-10-11 15:00
  
谢谢分享,记录下来,以后会用到。
沧海 发表于 2019-10-12 22:56
  
学习一下
sangfor_闪电回_小六 发表于 2019-10-14 11:26
  
您好,感谢您参与社区原创分享计划3,您的文章已被收录到计划中,分享激励将在专家小组评审结束后进行派发,再次感谢!
sdhd_耿建峰 发表于 2019-10-14 23:14
  
感谢分享哦!
tyr 发表于 2019-10-15 09:51
  
感谢分享
marco 发表于 2019-10-16 09:36
  
感谢分享,又学到不少新的知识了。
城北徐公 发表于 2019-10-16 14:49
  
这种对接第三方设备的帖子很棒,毕竟客户环境多种多样,收藏了,以后用得着
DOI 发表于 2019-10-16 20:14
  
配置步骤很详细,楼主知识掌握很牢
新手690943 发表于 2021-1-28 09:54
  

感谢作者分享,步骤写的很详细
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人