目的:使用 IPSEC ××× 的方式连接两个办公区域。
设备: Juniper  、飞鱼星 V1000 非同厂商设备。
起因:新办公区域没有采购网络设备的预算,手头只有一台飞鱼星V1000。起初准备用RouterOS来做,不过购买许可会产生额外费用,因此只能使用手头已经资源来搭建。
本文对于不熟悉Juniper设备的同学有一定的参考意义。Juniper是一个很早做×××和防火墙的厂商,其产品在规则设置这一块非常全面。
 
注:本文的图片均是高清大图,火狐中右键点击选择查看图片可以看到未压缩的图,360浏览器中需要按住图片,拖动一下,也可以看到原始大图。
1、 建立××× 网关
***s AutoKey Advanced GateWay 建立一个新的网关,地址为对端的防火墙地址。
网关地址可以任意填写,最好是填写具有实际意义的说明文字,安全级别使用 Custom ;网关类型使用固定 IP (这种方式适用于使用光纤接入的办公区域), IP 地址填写对端防火墙地址,这次所填写的是飞鱼星 V1000 的外网地址。 Preshared Key 填写任意字符作为密钥,对端设置时需要输入同样的内容。由于我们主要拿光环新网做 ××× 的负载,因此 Outgoing Interface 需要选择 Ethemet 3

点击高级进入下一个设置菜单。选择 Phase 1 Proposal 的安全模式,有 4 个框,只需要选择一种即可。我们使用 Pre-g2-3des-md5. 意为 IKE DH Group2 IKE 加密使用 3DES IKE 认证使用 MD5 。对端设备需要做同样设置。其他如下图所示勾选即可。

Juniper与其他设备建立IPSec ×××通信_第1张图片

2、  建立AutoKey IkE
***s AutoKey IKE ,建立一个新的 autokey ike
Juniper与其他设备建立IPSec ×××通信_第2张图片
操作之前需要建立两个地址池,分别为本地内网 IP 池、对端内网 IP 池。
Objects Address List ,在 Untrust (非信任)区域新建一个 IP
Juniper与其他设备建立IPSec ×××通信_第3张图片
地址名称可以随意写,最好起一个有明确意义的。 IP 地址和掩码这里写的是 192.168.0.0/16 ,也可以写 192.168.0.0/255.255.0.0 ;区域是 Untrust 。同样方法再设置一个对端的 IP192.168.30.0/24
之所以这么设置,是和我们公司的网络架构有关的,新办公区域使用192.168.30.x的IP段,老办公区域是192.168.0/1/2/3/4/5.0这些网段,为了让他们通信,老办公区域的IP段就是192.168.0.0/16.如何设置IP,主要还是根据架构需要。
Juniper与其他设备建立IPSec ×××通信_第4张图片
 
地址设置好后返回 IKE ,进行设置,这时新建 IKE 的时候就可以选择之前设置的网关( Tengda11F )了。
Juniper与其他设备建立IPSec ×××通信_第5张图片
继续点高级,进行后续操作。设置 Phase 2 Proposal 的安全为 g2-esp-3des-md5 ,它表示 ipsec 加密使用 esp-3des ipsec 数据认证使用 MD5 。之所以这样选择是部分 ××× 设备会将这个作为默认值。之下的 IP 地址和掩码也根据地址池的相关信息来填写。
Juniper与其他设备建立IPSec ×××通信_第6张图片

3、  建立×××规则
Policies 下建立 ××× 规则。方向为 trust Untrust 。也就是可信区域到非可信区域,在别的防火墙里,差不多就是内网到外网方向的规则。
Juniper与其他设备建立IPSec ×××通信_第7张图片
源地址为远端地址、目的地址为本地地址。动作选择 Tunnel(就是×××通道) ××× 选择之前建立的相应 IKE 一定要勾选 Modify Matching Bidrectional *** Policy 。这表示同样建立一条反方向的 ××× 规则。可以节省手动选择的时间。
Juniper与其他设备建立IPSec ×××通信_第8张图片
4、  建立路由。
因为公司是双线路接入的网络环境,需要单独增
加一条路由。如果你们的环境是单线接入,那么不用做这条路由。他的作用就是指明×××从哪条线路过去。
Network Routing Destination
Juniper与其他设备建立IPSec ×××通信_第9张图片
新增的路由如下设置。 IP 地址填写对端的内网 IP 和范围。 Next hop 使用网关,接口选 3 (光环) ,IP 地址填写 203.x.x.129 ,这个地址是公司飞塔设备的网关。由于公司网络环境特殊,因此必须指定这条路由。
Juniper与其他设备建立IPSec ×××通信_第10张图片
 
Juniper与其他设备建立IPSec ×××通信_第11张图片
5、  对端飞鱼星设置
如下图所示开启 IPSEC 的站点到站点功能。
Juniper与其他设备建立IPSec ×××通信_第12张图片
 
在列表中新建一条 ××× ,根据图示内容填写。这些内容在 Juniper 上已经有所体现。
 
Juniper与其他设备建立IPSec ×××通信_第13张图片
 
Juniper与其他设备建立IPSec ×××通信_第14张图片
6、  检查是否通信
在飞鱼星和 Juniper ***s Monitor Status 上均可正常查看到 ××× 的连接状态,只要两端连接方式和密钥一致,就可以通信成功。事实上哪怕这里显示不通也无所谓,因为网络和防火墙等的缘故,这个链接不见得就是可靠的。最稳妥的方法还是两边的机器互相用 内网地址访问一下。能访问,才算活干完。
Juniper与其他设备建立IPSec ×××通信_第15张图片
Juniper与其他设备建立IPSec ×××通信_第16张图片