一、环境说明
北京公司需要和上海分公司建立安全通信的VPN,便于北京总公司与上海分公司资源共享安全。
需建立两条子网通道规划地址如下:
北京总公司地址规划:
外网接口地址:218.23.23.23/24
内部VLAN地址:10.0.0.0/24 10.0.1.0/24
上海分公司地址规划:
外网接口地址:218.241.241.23/24
内部VLAN地址:172.173.0.0/24 172.173.3.0/24
二、开始配置IPsec VPN
北京总公司配置:
配置外网接口地址为非信任区218.23.23.23/24,内网地址为信任区
在接口配置中选择Tunnel IF新建VPN随道接口,注意此处的zong如选择信任区就不用配置策略,非信任则需要建立策略允许流量通过。
开始配置IPsec VPN隧道,第一阶段VPNs > AutoKey Advanced > Gateway>new
随便起个名字,配置外网接口地址218.23.23.23/24,然后点Advanced
配置预共享密钥要与对方相同,HD组为G2,加密算法为3des,认证算法为sha,如果建立多个通道可以在后面选择第二个的安全级别我在此配置了两个子网隧道如图:
配置第二阶段:VPNs > AutoKey IKE>New,随便起个名,选择远程网关指定上面配置的第一个阶段网关名,然后点击Advanced
配置第二阶段的安全级别,选择用户自定义,指定协议为ESP,加密算法为3des,认证算法为SHA1,如果配置第二个通道也要在此接着配置第二阶段的安全级别,然后选择通道接口,勾选VPN Monitor显示状态,return返回,OK确定。
然后配置子网地址:VPNs > AutoKey IKE选择配置的IKE,点Proxy ID,然后配置本地子网段和对方子网段,选择服务为any所有,New新建,如图:
接着建立两条到达对方子网的路由就成功了:Network > Routing > Routing Entries>New,注意选择信任区,因为通道接口在信任区,如在非信任区就选择非信任区建立。
配置到对方子网路由,选择网关为隧道接口地址,OK,如有多个子网需配置多个子网
在上海juniper网关上做同样的配置,把本地地址对换就行,其他都要相同。如果对端设备不是juniper防火墙,需要注意配置的地方:
1.网关接口地址对应上,子网也需要对应
2.第一阶段的预共享密钥相同,安全级别指定要匹配相同
3.第二阶段子网宣告对应,安全级别对应。
4.注意路由到达和允许本地子网到对方子网的策略
5.其他需要注意的拨号上网时配置网关时选择识别ID进行配置,选择野蛮模式。
6.如有疑问欢迎留言!