欢迎来到天天文库
浏览记录
ID:37637996
大小:171.87 KB
页数:7页
时间:2019-05-27
《Cisco与Juniper的IPSec VPN配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、不同厂家之间的IPSecVPNByMast以上这些都是同一品牌的设备,它们之间的互通当然要好实现一些,可是在实际的项目中各个单位并没有都使用Cisco的设备,那么不同的厂家的设备之间建立IPSecVPN能够通讯吗?其实只要各个厂家都遵循标准的IPSec协议,在加上用户对IPSecVPN理解透彻的话,一样能够实现互通,只不过稍微麻烦一点而已。笔者就在NetScreen的NS25防火墙和Cisco的ASA5505防火墙之间就实现了IPSecVPN互通。网络拓扑如图四所示:图4ASA5505防火墙的配置与前面的一样,配置结果如下:ASA(config)#cryp
2、toisakmppolicy10ASA(config-isakmp-policy)#encryption3desASA(config-isakmp-policy)#authenticationpre-shareASA(config-isakmp-policy)#hashmd5ASA(config-isakmp-policy)#group2ASA(config-isakmp-policy)#exitASA(config)#cryptoisakmpkeycjgsvpnadd59.196.234.42ASA(config)#cryptoipsectransfor
3、m-setcjgssetesp-3desesp-md5-hmacASA(config)#access-listpermitvpnpermitip172.19.30.0255.255.255.128192.168.0.0255.255.255.0ASA(config)#cryptomapvpn10ipsec-isakmpASA(config)#cryptomapvpn10matchaddresspermitvpnASA(config)#cryptomapvpn10setpeer59.196.234.42ASA(config)#cryptomapvpn10se
4、ttransform-setcjgssetASA(config)#cryptomapvpninterfaceoutsideASA(config)#cryptoisakmpenableoutside再看看NS25上的配置。在NS25上是采用图形界面完成的IPSecVPN的配置,具体过程如下:第一步:在NS25上建立两个地址本,分别代表本地的地址和需要访问的地址,其实就是定义感兴趣的流量的地址,总部的地址段定义在Untrust区域,改制单位的定义在Trust区域,在左边菜单上依次选择Objects-〉Addresses-〉List如图五所示:图5总部的地址段然
5、后再建立改制单位的地址段,如图六所示:图6改制单位的地址段第二步,确定要使用的第一阶段和第二阶段的策略。在NS25中已经预定义了第一阶段和第二阶段的各种参数的组合,如图七所示,在菜单中依次选择VPNs-〉AutoKeyAdvanced-〉P1Prosal图7阶段一的参数图中的pre-g2-3des-md5代表使用预共享密钥认证,DH协议组2的密钥交换算法,3des加密算法,md5的完整性算法,这是将要使用的阶段一的参数。阶段二的策略如图八所示,在菜单上依次选择VPNs-〉AutoKeyAdvanced-〉P2Prosal图8阶段二的参数图中nopfs-es
6、p-3des-md5代表不使用pfs功能,使用ESP协议封装,使用3des加密和md5认证。第三步,开始VPN阶段一的配置。在菜单上依次选择VPNs-〉AutoKeyAdvanced-〉Gateway-〉New,如图九所示:图9阶段一的参数GatewayName中输入阶段一的策略的名字:vpn1;RemoteGatewayType中选择StaticIPAddress,并输入总部的防火墙的外部接口的地址;PresharedKey输入预共享密钥:cjgsset;OutgoingInterface中选择ethernet3,即改制单位防火墙的公网接口;在本页面中选
7、择Advanced按钮,如图十所示:图10阶段一的参数在Phase1Proposal中选择阶段一的密钥交换策略,由于武汉总部是固定的公网IP地址,在Mode要选择Main。然后再单击页面上的Return按钮,返回到上一级配置页面,并单击OK按钮,完成了阶段一的配置。第四步:开始阶段二的配置。在菜单上依次选择VPNs-〉AutoKeyIKE-〉NEW,新建一个阶段2的策略,如图十一所示:图11阶段二的参数VPNName给阶段二的策略命名:vpn;RemoteGateway选择预定义,并在下拉列表中选择刚才定义的阶段一的策略的名称vpn1。单击本页面的Adva
8、nced按钮,如图十二所示:图12阶段二的参数选择阶段二的策略,然
此文档下载收益归作者所有