基于虚拟隧道的IPsec -华三 MSR26 路由器对接Juniper SSG-低调大师

基于虚拟隧道的IPsec -华三 MSR26 路由器对接Juniper SSG

2019-08-22 757

业务需要，做个IPSec，本来想做传统的基于策略的IPsec，后面想了下还是做基于虚拟隧道的IPSec*后续方便扩展。这种不同厂商设备做威皮N 本来就各种问题，做之前就心有揣之。

果不其然配置过程遇到几个问题，找了厂家，厂家回复说很少做基于虚拟隧道的*，一时半会找不到问题，后续还是自己一步步排查**

H3C路由配置：
配置第一阶段协商参数比较重要，华三路由器有默认的，但是不同厂商之间默认参数有时候会对不上

ike local-name h3c                //设置本地ID

ike proposal 20  //配置第一阶段参数
 dh group2
 authentication-algorithm md5
 encryption-algorithm des-cbc 
 authentication-method pre-share

ike peer juniperfw                  //配置对等体，因为本端ADSL无固定IP，本地ID跟对端ID 要两端匹配上
 exchange-mode aggressive
 proposal 20
 pre-shared-key cipher 123456
 id-type name
 remote-name juniper
 local-name h3c

ipsec transform-set method1       //配置二阶段参数
 encapsulation-mode tunnel
 transform esp
 esp authentication-algorithm md5
 esp encryption-algorithm des

ipsec profile tojuniper
 ike-peer juniperfw
 transform-set method1

interface Tunnel10
 ip address 1.1.1.1 255.255.255.252
 tunnel-protocol ipsec ipv4
 source Dialer10        //引用拨号口
 destination <对端公网IP>
 ipsec profile tojuniper

ip route-static 172.31.1.1 255.255.255.0 Tunnel10

Juniper 配置：
创建tunnel口，IP地址跟对端对上

配置Ipsec 网关：

对端是adsl无固定地址,选择Dynamic IPaddress （peer ID 要对上对端的配置）

点高级，local ID 也要两端对上，出接口选对，阶段1 proposal 要跟对端proposal匹配上，选择野蛮模式

页面选择s-AutoKEY IKE ：创建IKE 这里设置阶段2的参数：

点高级：阶段2参数两端一致，选择tunnel接口

最后写上duidu对端路由指向 tunnel口，然后配置放行策略。

微信关注我们

原文链接：https://blog.51cto.com/11533525/2431796

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Cisco路由器之Easy虚拟专用网（解决出差员工访问公司内网的问题）

博文大纲：一、在路由器上实现Easy 虚拟专用网需要配置什么？二、配置实例前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。在之前写过了Cisco路由器之IPSec 虚拟专用网；在Cisco的ASA防火墙上实现IPSec虚拟专用网。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的，那么还有一种使用很多的情况，就是出差人员想要访问公司内网的资源呢？由于出差人员只是单一的一个客户端，所以和前两篇博文不一样，前两篇博文搭建虚拟专用网，两端设备都是路由器或防火墙，有固定的IP地址，所以呢，并不能实现出差人员访问，这篇博文的目的，就是实现出差人员可以访问公司内网资源的，这个技术被称之为——Easy 虚拟专用网。一、在路由器上实现Easy 虚拟专用网需要配置什么？这篇博文将写下如何在路由器上实现Easy 虚拟专用网。如果网关设备是Cisco ASA防火墙，配置可参考：Cisco ASA防火墙之Easy虚拟专用网 1、XAUTH身份验证在原有的IPSec协议上，并没有用户验证的功...

2019-08-20

749

背景介绍公司开发了一款Web应用，开发架构基于Spring Boot，通过jar包的方式发布到服务器并通过命令行运行在内置的Tomcat上。上线将近一年，一切都是那么的风平浪静，然而一切的平静被上周的一次现场算法回访打破。我们的数据分析人员本意只是想查看一下历史数据来确认算法的表现符合预期，结果发现历史数据查询页面怎么点都没有反应，而其他页面都是正常的，服务重启后一切恢复正常。问题重现虽然问题通过服务重启后成功解决，但是出错的原因没有定位到也就意味着再次出错的可能性依然存在。分析问题最直观的方式就是从错误出发，通过错误信息来反向推导错误发生的场景。在这个案例中我们查看了浏览器控制台和后台错误日志，最终获取了准确的错误信息： 2019-08-2314:40:47,835[http-nio-9090-exec-8]ERRORo.a.catalina.core.ContainerBase.[Tomcat].[localhost].[/].[dispatcherServlet]-Servlet.service()forservlet[dispatcherServlet]inco...

2019-08-27

720

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。