基于虚拟隧道的IPsec -华三 MSR26 路由器对接Juniper SSG
业务需要,做个IPSec,本来想做传统的基于策略的IPsec,后面想了下还是做基于虚拟隧道的IPSec*后续方便扩展。这种不同厂商设备做 威皮N 本来就各种问题,做之前就心有揣之。
果不其然配置过程遇到几个问题,找了厂家,厂家回复说很少做基于虚拟隧道的*,一时半会找不到问题,后续还是自己一步步排查**
H3C路由配置:
配置第一阶段协商参数比较重要,华三路由器有默认的,但是不同厂商之间默认参数有时候会对不上
ike local-name h3c //设置本地ID ike proposal 20 //配置第一阶段参数 dh group2 authentication-algorithm md5 encryption-algorithm des-cbc authentication-method pre-share ike peer juniperfw //配置对等体,因为本端ADSL无固定IP,本地ID跟对端ID 要两端匹配上 exchange-mode aggressive proposal 20 pre-shared-key cipher 123456 id-type name remote-name juniper local-name h3c ipsec transform-set method1 //配置二阶段参数 encapsulation-mode tunnel transform esp esp authentication-algorithm md5 esp encryption-algorithm des ipsec profile tojuniper ike-peer juniperfw transform-set method1 interface Tunnel10 ip address 1.1.1.1 255.255.255.252 tunnel-protocol ipsec ipv4 source Dialer10 //引用拨号口 destination <对端公网IP> ipsec profile tojuniper ip route-static 172.31.1.1 255.255.255.0 Tunnel10
Juniper 配置:
创建tunnel口,IP地址跟对端对上
配置Ipsec 网关:
对端是adsl无固定地址,选择Dynamic IPaddress (peer ID 要对上对端的配置)
点高级,local ID 也要两端对上 ,出接口选对,阶段1 proposal 要跟对端proposal匹配上,选择野蛮模式
页面选择s-AutoKEY IKE : 创建IKE 这里设置阶段2的参数:
点高级:阶段2参数两端一致 , 选择tunnel接口
最后写上duidu对端路由指向 tunnel口 ,然后配置放行策略。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题)
博文大纲:一、在路由器上实现Easy 虚拟专用网需要配置什么?二、配置实例 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了Cisco路由器之IPSec 虚拟专用网;在Cisco的ASA防火墙上实现IPSec虚拟专用网。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的,那么还有一种使用很多的情况,就是出差人员想要访问公司内网的资源呢?由于出差人员只是单一的一个客户端,所以和前两篇博文不一样,前两篇博文搭建虚拟专用网,两端设备都是路由器或防火墙,有固定的IP地址,所以呢,并不能实现出差人员访问,这篇博文的目的,就是实现出差人员可以访问公司内网资源的,这个技术被称之为——Easy 虚拟专用网。 一、在路由器上实现Easy 虚拟专用网需要配置什么? 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。如果网关设备是Cisco ASA防火墙,配置可参考:Cisco ASA防火墙之Easy虚拟专用网 1、XAUTH身份验证 在原有的IPSec协议上,并没有用户验证的功...
- 下一篇
一个Slash引发的ClassNotFound血案
背景介绍 公司开发了一款Web应用,开发架构基于Spring Boot,通过jar包的方式发布到服务器并通过命令行运行在内置的Tomcat上。 上线将近一年,一切都是那么的风平浪静,然而一切的平静被上周的一次现场算法回访打破。 我们的数据分析人员本意只是想查看一下历史数据来确认算法的表现符合预期,结果发现历史数据查询页面怎么点都没有反应,而其他页面都是正常的,服务重启后一切恢复正常。 问题重现 虽然问题通过服务重启后成功解决,但是出错的原因没有定位到也就意味着再次出错的可能性依然存在。 分析问题最直观的方式就是从错误出发,通过错误信息来反向推导错误发生的场景。在这个案例中我们查看了浏览器控制台和后台错误日志,最终获取了准确的错误信息: 2019-08-2314:40:47,835[http-nio-9090-exec-8]ERRORo.a.catalina.core.ContainerBase.[Tomcat].[localhost].[/].[dispatcherServlet]-Servlet.service()forservlet[dispatcherServlet]inco...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- Mario游戏-低调大师作品
- CentOS关闭SELinux安全模块
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池