USG3000与ROS(ipsec对接)

发布时间:  2012-07-19 浏览次数:  156 下载次数:  0
问题描述

USG3000与ROS做ipsec对接,ros是一款软路由器。

根据ROS端截图配置USG设备

告警信息
处理过程

ROS端配置






USG3000端配置

ike proposal 1                  (使用默认配置,和ros端一致)

ike proposal 2
 authentication-algorithm md5    (使用MD5,和ros端一致)


ike peer xianghe
 exchange-mode aggressive           (两端都使用野蛮模式)      
 pre-shared-key asdf5566
 ike-proposal 2
 remote-address 59.108.34.19


ipsec policy 2 25 isakmp
 security acl 3017
 ike-peer xianghe                        
 proposal 1


acl number 3017
 description for_xianghe
 rule 15 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.0 0.0.0.255        (感兴趣流量和ros互为镜像)


acl number 3001     
 description for_nat
 rule 0 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255                 (NAT要先拒绝走ipsec流量,ros不存在此问题)
rule 5 permit ip source 192.168.0.0 0.0.255.255

firewall interzone trust untrust
 nat outbound 3001 interface GigabitEthernet0/0

interface GigabitEthernet0/0
 mtu 1400
 description to_wan_chengdu_wuhan
 ip address 59.108.109.82 255.255.255.240
 undo ip fast-forwarding qff      (USG3000端需要关闭快转功能)
 ipsec policy 2

根因
建议与总结

虽然和ROS设备进行 ipsec对接比较简单,但是由于平时很少遇到,对ros设备也不熟悉,可以参考此案例。

END