USG5130与juniperssg3320 ipsec vpn对接问题

发布时间:  2013-03-23 浏览次数:  326 下载次数:  0
问题描述
设备拓扑如下:


 配置需求:

在分支端客户需要保护的数据流是 192.168.0.0/16到10.163.0.0/16 。
使用dh-group2。
分支端使用固定ip地址与总部建立ipsec 隧道。
 



告警信息
处理过程
分支USG配置:

[USG5100]ike local-name client
[USG5100]ike proposal 100
[USG5100-ike-proposal-100]dh group2
[USG5100-ike-proposal-100]authentication-algorithm md5
[USG5100-ike-proposal-100]q

[USG5100]ike peer map1
[USG5100-ike-peer-map1]exchange-mode  aggressive
[USG5100-ike-peer-map1]pre-shared-key halfayavpn
[USG5100-ike-peer-map1]ike-proposal 1
[USG5100-ike-peer-map1]undo version 2
[USG5100-ike-peer-map1]local-id-type name
[USG5100-ike-peer-map1]remote-name ssg320m
[USG5100-ike-peer-map1]remote-address 94.200.51.218
[USG5100-ike-peer-map1]nat traversal
[USG5100-ike-peer-map1]q

[USG5100]ipsec proposal map1

[USG5100]ipsec policy vpn 1 isakmp
[USG5100-ipsec-policy-isakmp-vpn-1]proposal  map1
[USG5100-ipsec-policy-isakmp-vpn-1]ike-peer map1
[USG5100-ipsec-policy-isakmp-vpn-1]security acl 3990
[USG5100-ipsec-policy-isakmp-vpn-1]q

[USG5100-GigabitEthernet0/0/0]ipsec policy  vpn auto-neg

说明:如果对对端设备的ipsec加密算法和认证算法不是太清楚,juniper可以使用兼容模式


总部:Juniper配置


1.、Ethernet 0/2 配置如下 
说明:配置juniper接口时,需要打开接口的服务功能如ping等。

2、tunnel.1接口配置,接口创建完成后,需配置ip地址或使用地址借用,这里只能使用物理接口的ip


 
四、 juniper 配置


            1、  ike第一阶段配置,Remote Gateway 需要与对端配置保持一致配置


 

 
  2、  VPN Name:USG2100 这个参数相当于USG的ipsec policy名字
 

 
3、  Create a Simple Gateway:peer-USG这个参数相当于USG中的ike peer
 

 
 4、  Version:

说明:如果使用ike v2对接,需要USG修改如下在,其他配置不用修改


 

 
5、  Type:这里的type是这对端的类型,Dynamic IP 表示对端的ip不固定,如果对端使用3G、pppoe等动态获取ip后再与juniper设备进行ipsec对接。在这种情况下不能使用ip认证,只能使用名字认证。Peer id就是对端(USG)设备的ike local name ;下面的local id就是本端(juniper)设备的ike local name
 

 
 6、  Local ID:ssg320m 相当与ike local name

       7、  Preshared Key:halfayavpn

       8、  Security Level: Standard  这个相当与USG的默认模式。


9、  Outgoing Interface :选择实际接口,这里选择ethernet0/2(ipsec的出接口),相当于USG  ipsec 绑定的物理接口,但是juniper设备ipsec已经隧道化,他的ipsec策略实际上是应用在tunnel接口上的。在创建tunnel(本例配置创建的是tunnel.1)接口后,再把接口绑定到物理(本例用的是ethernet 0/2)接口上。
如果地址是固定的可以使用Static IP.

 

 
    10、   选择advanced:  这里的高级配置相当于USG中ipsec proposal
\
11、   Security Level:Custom 相当于USG的自定义配置

 12、Phase 2 Proposal:

 13、  Bind to:interface tunnel.1 把策略绑定到 tunnel接口上

  14、 Proxy-ID:proxy-id相当于USG中的acl,这个必须与USG的acl配置成镜像。


15、按如图顺序进入出现如下设置界面,由于第一阶段使用的是standard(相当于USG的默认模式)模式,由于standard的参数和之前要求的参数不一致,需要在这里修改。


 16、 修改Phase 1 Proposal如下,这个相当于ike proposal

  17、 Mode (Initiator):为Aggressive,如果使用动态ip这里需要选择aggressive


17、选择nat穿越Enable NAT-Traversal,如果有nat穿越,一定要选择此选项。

18、修改完成后为如下界面



说明:如果对对端设备的ipsec加密算法和认证算法不是太清楚,juniper可以使用兼容模式。Juniper使用兼容模式时ike 的配置参数如下


第一阶段

使用兼容模式时对端第一阶段使用如下算法任何一组都是可以协商的。

对端使用Main或Aggressive 都可以正协商


 第二阶段

使用兼容模式时对端第二阶段使用如下算法任何一组都是可以协商的。

 

 
根因

建议与总结

END