首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

简简单单,H3C路由器和Juniper vSRX防火墙对接IPsec VPN这么配就成了!

文化   2024-11-27 20:52   北京  
我们之前介绍过H3C路由器配置IPsec VPN为什么IPsec两端内网的网段能不能重复?分明可以实现!,也介绍过Juniper的vSRX防火墙配置IPsec VPN配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式),那如果遇到这两种设备对接的场景,需要怎么配置呢?
我们假设企业站点H使用的VPN网关设备为H3C路由器,出口IP地址为10.23.1.3,内网业务网段为172.18.18.0/24;企业站点J使用的VPN网关设备为Juniper防火墙,出口IP地址为10.12.1.1,内网业务网段为192.168.18.0/24。
经过这么多次配置IPsec VPN合集,我们已经知道,不同厂商的设备对接,区别主要就是在算法上面。所以,我们本次配置约定双方使用的算法如下:一阶段和二阶段的认证算法均使用SHA256、加密算法均使用AES-128、DH组均配置为Group5。

1、配置H3C路由器 

配置IKE认证所使用的预共享密钥:
#ike keychain h3c2jun pre-shared-key address 10.12.1.1 255.255.255.255 key simple h3c_juniper
配置IKE安全提议,修改与天翼云相匹配的认证算法、加密算法和DH算法。
#ike proposal 10000 encryption-algorithm aes-cbc-128 dh group5 authentication-algorithm sha256
配置IKE配置文件,引用预共享密钥和安全提议配置,并指定本端和对端的身份标识。
#    ike profile h3c2jun keychain h3c2jun local-identity address 10.23.1.3 match remote identity address 10.12.1.1 proposal 10000
配置ACL感兴趣流,与天翼云配置的本端子网和对端网段相对应。
#acl advanced 3333rule 0 permit ip source 172.18.18.0 0.0.0.255 destination 192.168.18.0 0.0.0.255 rule 5 permit ip source 192.168.18.0 0.0.0.255 destination 172.18.18.0 0.0.0.255
配置IPsec安全提议,修改与天翼云相匹配的认证算法、加密算法和PFS算法。
#ipsec transform-set h3c2jun esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha256 pfs dh-group5
配置IPsec策略,引用IKE配置文件、IPsec安全提议、感兴趣流ACL,并指定本端和对端的IP地址。
#ipsec policy h3c2jun 10 isakmp transform-set h3c2jun security acl 3333 local-address 10.23.1.3 remote-address 10.12.1.1 ike-profile h3c2jun
在公网接口下应用IPsec策略。   
#interface GigabitEthernet1/0 ip address 10.23.1.3 255.255.255.0 ipsec apply policy h3c2jun

2、配置Juniper防火墙 

首先,创建一个安全隧道接口(secure tunnel interface,st)st0。
cliconfigureset interfaces st0 unit 0 family inet
将涉及业务转发的逻辑接口ge-0/0/0.0、ge-0/0/1.0和st0.0都加入到trust安全域,配置trust安全域的策略为允许所有流量和服务。   
set security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone trust interfaces ge-0/0/1.0set security zones security-zone trust interfaces st0.0set security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust host-inbound-traffic protocols all
创建2个地址组h3c和juniper,分别对应H3C路由器内网和Juniper防火墙内网;在策略配置中,配置策略匹配所有源地址、所有目的地址、所有应用,执行动作为允许。
set security address-book global address h3c 172.18.18.0/24set security address-book global address juniper 192.168.18.0/24set security policies from-zone trust to-zone trust policy default-permit match source-address anyset security policies from-zone trust to-zone trust policy default-permit match destination-address anyset security policies from-zone trust to-zone trust policy default-permit match application anyset security policies from-zone trust to-zone trust policy default-permit then permit
配置IKE提议,认证方式为预共享密钥;配置DH组使用group5、认证算法使用sha-256、加密算法使用aes-128。配置IKE策略,默认使用主模式,引用IKE提议h3c2jun,并配置使用预共享密钥h3c_juniper。配置IKE网关信息,包括对端网关IP地址、remoteID、本端网关IP地址、localID、本端出接口,以及IKE版本等信息,并指定绑定的IKE策略。
set security ike proposal h3c2jun authentication-method pre-shared-keys    set security ike proposal h3c2jun dh-group group5set security ike proposal h3c2jun authentication-algorithm sha-256set security ike proposal h3c2jun encryption-algorithm aes-128-gcmset security ike policy h3c2jun proposals h3c2junset security ike policy h3c2jun pre-shared-key ascii-text h3c_juniperset security ike gateway h3c2jun address 10.23.1.3set security ike gateway h3c2jun remote-identity inet 10.23.1.3set security ike gateway h3c2jun external-interface ge-0/0/0set security ike gateway h3c2jun local-address 10.12.1.1set security ike gateway h3c2jun local-identity inet 10.12.1.1set security ike gateway h3c2jun version v1-onlyset security ike gateway h3c2jun ike-policy h3c2jun
配置IPsec提议,指定加密协议为ESP,并指定认证算法使用sha-256、加密算法使用aes-128;配置IPsec策略,引用IPsec提议h3c2jun,配置PFS使用group5。配置VPN隧道,指定IKE网关信息和IPsec策略,绑定隧道接口st0.0。创建流量策略,对应本端设备去H3C路由器的流量。最后配置隧道立即协商,并提交配置变更。
set security ipsec proposal h3c2jun protocol espset security ipsec proposal h3c2jun authentication-algorithm hmac-sha-256-128set security ipsec proposal h3c2jun encryption-algorithm aes-128-gcmset security ipsec policy h3c2jun proposals h3c2junset security ipsec policy h3c2jun perfect-forward-secrecy keys group5    set security ipsec vpn h3c2jun ike gateway h3c2junset security ipsec vpn h3c2jun ike ipsec-policy h3c2junset security ipsec vpn h3c2jun bind-interface st0.0set security ipsec vpn h3c2jun traffic-selector ts-1 local-ip juniperset security ipsec vpn h3c2jun traffic-selector ts-1 remote-ip h3cset security ipsec vpn h3c2jun establish-tunnels immediatelycommit

3、业务验证 

配置完成之后,在Juniper防火墙测试访问H3C路由器站点内网的连通性。
可以看到,访问成功,通信正常。
在Juniper防火墙查看IKE SA信息。   
在Juniper防火墙查看IPsec SA信息。   
在H3C路由器查看IKE SA信息。   
在H3C路由器IPsec SA信息。   
简简单单,配置完成。   
***推荐阅读***
命令行配置Windows对接VPN网关
Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发
配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)
配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)
配置Juniper虚墙vSRX基于路由的IPsec VPN(WEB方式)
配置Juniper虚墙vSRX基于路由的IPsec VPN(CLI方式)
使用命令配置Windows和H3C VSR对接隧道模式的IPsec
使用IKE数字签名RSA认证建立IPsec隧道的配置案例
IPsec over GRE over IPv6配置案例
使用ddns-go实现自动配置IPv6的DDNS
铁军哥
高级网络规划设计师,原中国电信高级技术规划工程师,天翼云认证高级解决方案架构师,H3C认证网络工程师。 继续加油,努力传播知识,影响更多人!
 最新文章
基于IP的远程直接内存访问(RDMA)问题陈述
客户管理DNS资源记录
BitLocker加密硬盘设备的过程是啥?怎么解锁?看这里了解一下
简简单单,H3C路由器和Juniper vSRX防火墙对接IPsec VPN这么配就成了!
命令行配置Windows对接VPN网关
网络时延、丢包可以手动调整?你说,那什么是真的?还有什么是真的?
H3C防火墙授权相关问题简介
倒反天罡!使用HCL测试VSR性能,i7-12800HX竟然败给了i7-8750H
破案了!还真就是Windows11默认开机的BitLocker,不想被加密的赶紧关掉!
嘘!免费的Office LTSC专业增强版2024你要不要?
太诡异了?服务器居然可以自己控制自己关机,也没有蓝屏,没有关机计划任务,难道被人控制了?
在Windows Server测试一下不同CPU插槽数量对性能的影响
Win7任务管理器CPU性能引发的思考
网络服务状态检测三部曲
一个简单的设备升级操作
如何操作RAID 5阵列的扩容?
RAID 0阵列扩容后的磁盘扩展操作
如何操作RAID 0阵列的扩容?
RAID阵列的磁盘顺序能否调整?RAID重建需要多久?
使用storcli工具配置RAID,收藏这一篇就够了
[求助帖]电脑硬盘意外被BitLocker锁了,求解密方法
流量控制tc命令使用手册
保证转发PHB组
VXLAN小实验:VXLAN头端复制配置
EVPN小实验:配置实例间访问控制
如何将VMware ESXi中的虚拟机迁移到Workstation
exFAT文件系统通过挂载到Linux系统实现NFS网络共享
Windows Server2012 R2搭建NFS服务器
Windows不支持配置NFS?还有什么注意事项?
CDN内容分发网络加速效果测试
openssl-ecparam 命令手册
openssl-ec-chn命令手册
OpenSSL格式选项和密码选项简介
Ubuntu使用Tesla P4配置Anaconda+CUDA+PyTorch
神奇的H3C设备自动配置功能,不用按Ctrl-D/C了
Windows Server 绝技:PXE 服务 WDS 部署,让系统安装如虎添翼!
1024|程序员充能大礼包及粉丝专属福利放送!
如何手工获取并更新ESXi中macOS的VMware Tools版本
借PVE8.0的Debian 12系统配置一下NFS服务器
如何使用OpenSSL创建RSA证书文件?
H3C iMC智能管理中心平台PLAT部署EIA/UAM/TAM组件
VMware使用vmkfstools命令将厚置备虚拟机磁盘转为精简置备
不使用USB,Windows电脑如何通过网络操控Android手机?
如何通过Windows电脑操控Android手机?
太卷了,能配置ADVPN的云主机一年只要37块钱!
H3Linux部署iMC智能管理中心平台PLAT-7.3_E0706实验
配置Windows系统对接天翼云VPN连接
使用Spring boot整合MyBatis,实现根据用户id查询用户信息功能
NAT域隧道模式IPsec安全模型
来吧,给大家分享一下最新版本的FortiGate-VM64,带试用授权
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉