基于虚拟隧道的IPsec -华三 MSR26 路由器对接Juniper SSG

业务需要,做个IPSec,本来想做传统的基于策略的IPsec,后面想了下还是做基于虚拟隧道的IPSec*后续方便扩展。这种不同厂商设备做 威皮N 本来就各种问题,做之前就心有揣之。

果不其然配置过程遇到几个问题,找了厂家,厂家回复说很少做基于虚拟隧道的*,一时半会找不到问题,后续还是自己一步步排查**

H3C路由配置:
配置第一阶段协商参数比较重要,华三路由器有默认的,但是不同厂商之间默认参数有时候会对不上

ike local-name h3c                //设置本地ID

ike proposal 20  //配置第一阶段参数
 dh group2
 authentication-algorithm md5
 encryption-algorithm des-cbc
 authentication-method pre-share

ike peer juniperfw                  //配置对等体,因为本端ADSL无固定IP,本地ID跟对端ID 要两端匹配上
 exchange-mode aggressive
 proposal 20
 pre-shared-key cipher 123456
 id-type name
 remote-name juniper
 local-name h3c

ipsec transform-set method1       //配置二阶段参数
 encapsulation-mode tunnel
 transform esp
 esp authentication-algorithm md5
 esp encryption-algorithm des

ipsec profile tojuniper
 ike-peer juniperfw
 transform-set method1

interface Tunnel10
 ip address 1.1.1.1 255.255.255.252
 tunnel-protocol ipsec ipv4
 source Dialer10        //引用拨号口
 destination <对端公网IP>
 ipsec profile tojuniper

ip route-static 172.31.1.1 255.255.255.0 Tunnel10

Juniper 配置:
创建tunnel口,IP地址跟对端对上

配置Ipsec 网关:

对端是adsl无固定地址,选择Dynamic IPaddress (peer ID 要对上对端的配置)

点高级,local ID 也要两端对上 ,出接口选对,阶段1 proposal 要跟对端proposal匹配上,选择野蛮模式

页面选择s-AutoKEY IKE : 创建IKE 这里设置阶段2的参数:

点高级:阶段2参数两端一致 , 选择tunnel接口

最后写上duidu对端路由指向 tunnel口 ,然后配置放行策略。

原文地址:https://blog.51cto.com/11533525/2431796

时间: 2024-10-10 15:13:21

基于虚拟隧道的IPsec -华三 MSR26 路由器对接Juniper SSG的相关文章

实验:基于GRE隧道的Site To Site VPN

拓扑如下: 描述: R1和R3模拟上海和北京办公区的边界路由,且已经启用PAT. ISP模拟公网和公网服务器.ISP已经启用Telnet(Password:123,enable Password:321)和HTTP服务: R2和R4模拟上海和北京的内网主机. 现R2可以和R3通信,但不能与R4通信:R4可以与R1通信,但不能与R2通信. 要求: 在R1和R3间创建GRE隧道,使R2和R4能够通信. R1配置脚本: conf t int tunnel 1//隧道编号为1,本地有效 ip add 1

HAProxy详解(三):基于虚拟主机的HAProxy负载均衡系统配置实例【转】

一.基于虚拟主机的HAProxy负载均衡系统配置实例 1.通过HAProxy的ACL规则配置虚拟主机: 下面将通过HAProxy的ACL功能配置一套基于虚拟主机的负载均衡系统.这里操作系统环境为:CentOS release 6.7,HAProxy版本为haproxy-1.4.24,要实现的功能如图: 本实例有一个电商网站服务器群.一个论坛服务器群.一个博客服务器群和默认服务器群,4个服务器群都由多台服务器组成,而4个服务器群又组成了一个应用服务器群组,在每个服务器群的前端有一个基于HAProx

华三SDN产业链分析

华三通信从2009年起开始跟踪SDN技术的发展,并投入大量研发力量进行相关产品的研发,截止目前已经开发了丰富的产品和解决方案.华三通信一直 积极与各行业用户在SDN领域进行紧密的合作与研究,并结合用户业务需求推出多种场景SDN解决方案,是国内SDN领域实践案例最为丰富的网络厂商之一. 华三于2013年推出支持OpenFlow1.3版本的可商用交换机,于2014年推出首款达到商用要求的SDN控制器产品VCF,并先后与联通研究院. 电信广州院.清华大学.江苏省未来网络创新研究院等建立联合实验室与战略

CentOS7基于虚拟用户的vsfptd

一.安装及配置文件介绍 1.使用yum的方式即可实现.  yum -y install vsftpd 2.用户认证配置文件 /etc/pam.d/vsftpd 3.主配置文件 /etc/vsftpd/vsftpd.conf 4.共享目录的位置:/var/ftp/ 二.vsfptd常用配置 1.匿名用户的常用配置  annoymous_enable=YES  #是否启用匿名用户 anno_upload_enable=YES #是否允许匿名用户上传权限 anno_mkdir_write_enable

samba基于虚拟用户的生产环境配置

前段时间,加入了学校的一个实验室.后来学长让我们小组在5天之内搭建出一个基于虚拟用户的samba共享服务.要求是实验室三个小组的成员能够访问所有共享资料,但不能上传和删除.每个组的组长可以上传和删除本组资料.另外需要使用虚拟用户实现.一开始,大家都有点懵,然后就在网上找资料,最后基本确定了一个实现方案. 刚开始给了一台服务器装机,乍一看,这服务器有年头了,大箱子似的,是浪潮的一款比较老的机器,04年进的学校,古董级别的,哈哈.于是,我们小组的人开始装机了,但是中间遇到了许多问题.仔细一研究,这东

基于虚拟用户的邮件系统配置

基于虚拟用户的邮件系统配置 实验说明: 操作系统:redhat5.8_x64bit 由postfix+ sasl + courier-authlib + MySQL(实现了虚拟用户.虚拟域) + dovecot + Webmail {extmail(extmain)} 组成的虚拟用户. 需要准备以下软件包: postfix-2.9.6.tar.gz courier-authlib-0.64.0.tar.bz2 extmail-1.2.tar.gz extman-1.1.tar.gz Unix-S

PXE安装Centos65 postfix+exmail+mysql实现基于 虚拟用户的web邮件系统

PXE安装Centos postfix+exmail+mysql实现基于 虚拟用户的web邮件系统 在实现centos+postfix的web内网邮件之前,参考了许多网上.书本知识,经过两次大的改动,目前该系统已经为公司正常服务工作五年多. 第一部分 win7+tftpd32+PXE安装CentOS6.5 32bit 第一步 安装CentOS6.5 32bit操作系统 基于win7+tftpd32+PXE来安装,但我这里只用虚拟机VMware Workstation9.0.1 build-894

邮件服务系列之四基于虚拟用户的虚拟域的邮件系统(安装courier-authlib以及部分配置方法)

要受使用Mutt必须安装一个收邮件的代理,例如dovecot,配置完成之后启动服务, Mutt用户的邮件代理 mutt -f 指定用户的邮箱,路径,一般指定对应的协议即可访问, mutt用户的界面如下所示,是纯文本界面 具体的使用如下所示 #mutt -f pop://[email protected] 出现如下所示的界面,输入对应的密码 登陆以后出现一个界面 根据提示可以进行简单的查看以及收发删除邮件的操作,是一个很方便使用的纯文本的邮件收发系统 虚拟主机,虚拟域 1.web服务器中虚拟主机:

H3C-H3CNE 华三网络工程师从入门到精通

课程目标:本课程详细讲解大中型企业网络.数据包结构.OSI模型.TCP/IP模型.IP编址.IP子网划分.TCP.UDP.ICMP.H3C命令行简介.STP.MSTP.VLAN.Trunk.NAT.静态路由.RIP.OSPF.BGP.Telnet.SSH.DHCP.ACL.PPP.IRF.链路聚合.VRRP.BFD 等. 适合人群:本课程适合初级网络系统集成工程师.在校大学生.有网络基础的运维工程师.技术支持等人学习. 课程介绍: 本课程涉及计算机网络基础知识.企业网常用技术介绍.H3C路由器和