SINFOR_IPSEC_跟JUNIPER设备进行第三方对接说明_20101111

根据网络环境的不同，大致可以分为如下几种情况：

1、双方均为固定公网IP；

2、双方均为动态IP；

3、一方为固定公网IP，一方为动态IP；

4、双方均为固定IP，但均不是公网IP（路由模式部署，设备前面还有nat设备）；

5、一方为固定IP，但不是公网IP，另一方为动态IP

其中环境1既可以采用主模式部署，也可以采用野蛮模式部署；环境2不支持标准IPSEC的对接；环境3、4、5必须采用野蛮模式部署。

JUNIPER的SSG系列设备的软件版本目前已测最高为 6.0，SSG 5.0版本因为JUNIPER用的是2001年的NATT草案而不是标准NATT方案，因此野蛮模式下无法互联（主模式未测试）。我们对接过5.4和6.0版本，野蛮模式均能正常互联。

如果在野蛮模式下，JUNIPER设备的日志提示“unrecognized peer gateway”，则肯定是双方的ID设置不匹配，改正确后就不会出现这种日志提示了。

JUNIPER的IPSEC VPN又分为2种不同的配置模式，一种称为基于策略的VPN，另一种是基于路由的VPN，实现的最终效果一样，只是配置过程有所不同。

2.基于策略的VPN配置步骤

下面以主模式详细分析配置步骤，在JUNIPER设备上大致分三步走：

一、配置标准IPSEC VPN第一阶段

1.登录JUNIPER设备

进去后显示如下：

软件版本

2.点VPNs----》Autokey Advanced-----》Gateway，这里是配置标准IPSec第一阶段

我们选择static IP address，输入对端设备IP，也就是我们AC设备上的公网IP

4. 点Advanced，设置preshared key（预共享密钥），然后在里面选择第一阶段的参数，选择custom，加密方式选择pre-g2-3des-md5，也就是预共享密钥+组

2+3des+md5，Mode选择main（主模式），该页其他参数保留默认值即可。

1.点VPNs---》Autokey IKE，配置标准IPSec第二阶段

阶段网关名字，这里为“广办”

3. 再点击Advanced，Security Level选择Custom，阶段2策略选择nopfs-esp-des-md5，表示没有完美向前保护+esp+des+md5，proxyid勾上，填上本地ip范围和对方ip范围，VPN Monitor也勾上，这样在JUNIPER上也能看到隧

道的连接情况。

该页其他选项保留就行了。

三、防火墙放通双向规则

1.建立IP组，可以给一个段的IP设置一个名称，点击policy—》Policy Elements–》adress—》list—》new

也可以设置多个IP段同属于一个IP组，policy—》Policy Elements–》adress—》group—》new

2.设置数据流向策略。点击Policies ，选择Untrust to Trust

点右上角的New，源地址为对方IP段，目标地址为本方IP段，其他保留，Action 选择Tunnel，

Tunnel VPN 选择你在AutoKey IKE里设置的VPN通道。

3. 再选择Trust to Untrust，新建一条反向的规则

3.只做通单向时，Action只显示一把锁

做通双向时，显示的是双通的锁

四、sinfor设备的配置，直接上图了

五、查看结果

以上都配置完成后，你就可以看到两边已经正常连上了

一、登录JUNIPER设备

进去后显示如下：

点左边的Network---》interface，新建一个tunnel

Unnumbered，接口选择对方JUNIPER设备的接口。

点保存，就新建了一个tunnel，等下再把这个tunnel和我们的VPN隧道结合起来。一个VPN 隧道就必须要一个tunnel，不允许多个VPN隧道共用同一个tunnel。

点VPNs----》Autokey Advanced-----》Gateway，这里是配置标准IPSec

第一阶段

点右上角的New，名字随便起，Security Level选择custom，Remote Gateway Type我们选择dynamic IP address（因为是拨号），填入对端ID，格式为www.xxx.com（一个完整的域名格式），

配置好预共享密钥，本端ID也为www.xxx.com（同样为一个完整的域名格式）

钥+组2+3des+md5，Mode选择Aggressive（野蛮模式），该页其他参数保留默认值即可。

点VPNs---》Autokey IKE，配置标准IPSec第二阶段

定义好的第一阶段网关名字，这里为chunsha

再点击Advanced，Security Level选择Custom，阶段2策略选择nopfs-esp-des-md5，表示没有完美向前保护+esp+des+md5，Blind to选择我们之前新建的那个隧道tunnel2，proxyid勾上，填上本地ip范围和对方ip范围，VPN Monitor也勾上，这样在JUNIPER上也能看到隧道

的连接情况。

该页其他选项保留就行了。

点击Network----》Routing---》Destination，添加一条路由

择刚才的那条隧道。

二、Sinfor设备的配置，直接上图了

三、查看结果

以上都配置完成后，你就可以看到两边已经正常连上了