基于tunnel口的×××配置

名词:tunnel口:虚拟接口

Ike阶段:ipsec ***的第一阶段,两台设备互联地址协商

Ipsec阶段:加密感兴趣流,即内部通讯的数据

建立tunnel口,配置ip地址(非必需),对端也许要配置,此处不截图。

juniper-ipsec *** web及cli配置_第1张图片

配置ike阶段,填写对端的公网地址,并且给ike取个名字,对端与这边配置相同,ip地址都是填写对方的公网ip

juniper-ipsec *** web及cli配置_第2张图片

选择高级----1共享密钥,两段一致。2出接口。3一阶段提议,包括验证方法和算法,两端必须一致。

juniper-ipsec *** web及cli配置_第3张图片

配置第二阶段,起个名字,并且在remote gateway刚刚建立的第一阶段,再点击高级。

juniper-ipsec *** web及cli配置_第4张图片

配置高级选项,上面是第二阶段的提议,包括算法,认证方式,协议两端一致。基于路由的***需绑定tunnel接口,这里是刚才建立的tunnel口,下面*** monitor是能看到***状态的复选项,建议勾选。Optimized rekey都是***链路的优化,建议勾选,并两端一致。

juniper-ipsec *** web及cli配置_第5张图片

至此,ipsec ***建立完毕,再到policy把两端网段的策略做放行,并且将路由表里面添加到对端网络的路由添加,下一跳为tunnel口的地址即可。

注意:Tunnel口up说明***已经建立,当tunnel口没有绑定***(第二阶段那里),会是常up状态。


CLI版本

Cli比较简洁,思路与web一致,创建tunnel口、创建1阶段、创建2阶段。


set interface "tunnel.7" zone "Untrust"

set interface tunnel.7 ip 10.0.128.73/30

set ike gateway "to_IDC" address X.X.189.68 Main outgoing-interface "ethernet0/0" preshare "juniper" proposal "pre-g2-3des-sha"

set *** TY2IDC gateway to_IDC no-replay tunnel idletime 0 proposal g2-esp-3des-sha

set *** TY2IDC monitor rekey

set *** TY2IDC id 0x9 bind interface tunnel.7

验证: