标签：华三 name Juniper tunnel 配置 ike SSG ID ipsec

业务需要，做个IPSec，本来想做传统的基于策略的IPsec，后面想了下还是做基于虚拟隧道的IPSec*后续方便扩展。这种不同厂商设备做 威皮N 本来就各种问题，做之前就心有揣之。

果不其然配置过程遇到几个问题，找了厂家，厂家回复说很少做基于虚拟隧道的*，一时半会找不到问题，后续还是自己一步步排查**

H3C路由配置：
配置第一阶段协商参数比较重要，华三路由器有默认的，但是不同厂商之间默认参数有时候会对不上

ike local-name h3c                //设置本地ID

ike proposal 20  //配置第一阶段参数
 dh group2
 authentication-algorithm md5
 encryption-algorithm des-cbc 
 authentication-method pre-share

ike peer juniperfw                  //配置对等体，因为本端ADSL无固定IP，本地ID跟对端ID 要两端匹配上
 exchange-mode aggressive
 proposal 20
 pre-shared-key cipher 123456
 id-type name
 remote-name juniper
 local-name h3c

ipsec transform-set method1       //配置二阶段参数
 encapsulation-mode tunnel
 transform esp
 esp authentication-algorithm md5
 esp encryption-algorithm des

ipsec profile tojuniper
 ike-peer juniperfw
 transform-set method1

interface Tunnel10
 ip address 1.1.1.1 255.255.255.252
 tunnel-protocol ipsec ipv4
 source Dialer10        //引用拨号口
 destination <对端公网IP>
 ipsec profile tojuniper

ip route-static 172.31.1.1 255.255.255.0 Tunnel10

Juniper 配置：
创建tunnel口，IP地址跟对端对上

配置Ipsec 网关：

对端是adsl无固定地址,选择Dynamic IPaddress （peer ID 要对上对端的配置）

点高级，local ID 也要两端对上 ，出接口选对，阶段1 proposal 要跟对端proposal匹配上，选择野蛮模式

页面选择s-AutoKEY IKE ： 创建IKE 这里设置阶段2的参数：

点高级：阶段2参数两端一致 ， 选择tunnel接口

最后写上duidu对端路由指向 tunnel口 ，然后配置放行策略。

标签：华三,name,Juniper,tunnel,配置,ike,SSG,ID,ipsec
来源： https://blog.51cto.com/11533525/2431796

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。