SANGFOR_NGAF_v7.3_与JUNIPER进行IPSEC VPN对接配置文档.pdfVIP

SANGFOR_NGAF_v7.3_IPSEC VPN对接配置 目 录 1 应用场景1 2 配置方式及截 2 3测试效果9 1 应用场景 NGAF与JUNIPER建立第三方IPSEC VPN对接。 必要条件说明： 1） 双方都是固定IP既可以采用主模式，也可采用野蛮模式，建议采用主模式 2） 如果端口映射的情况，采用野蛮模式 拓扑环境如下所示： 2 配置方式及截 一、JUNIPER配置标准IPSEC VPN第一阶段 1、登录JUNIPER设备进去后显示如下： 软件版本 2、点 【VPNs】- 【Autokey Advanced】- 【Gateway】- 【new】 3、点右上角的 【New】，名字随便起，【SecurityLevel】选择 【custom】，【RemoteGateway Type】我们选择 【staticIPaddress】，输入对端设备IP，也就是我们AF设备上的公网IP 4、点 【Advanced】，设置 【preshared key】（预共享密钥），然后在里面选择第一阶段的参 数，选择【custom】，加密方式选择【pre-g2-3des-md5】，也就是预共享密钥+组2+3des+md5， Mode选择 【main】（主模式），该页其他参数保留默认值即可。 二、JUNIPER配置标准VPN第二阶段 1、点 【VPNs】 【Autokey IKE】，配置标准IPSec第二阶段 2、点右上角的 【New】，名字随便起，【RemoteGateway】选择之前我们定义好的第一阶段网 关名字，这里为 “广办” 3、再点击 【Advanced 】，【Security Level 】选择 【Custom】，阶段 2 策略选择 【nopfs-esp-des-md5】，表示没有完美向前保护+esp+des+md5， proxyid勾上，填上本地 ip范围和对方ip范围，【VPNMonitor】也勾上，这样在JUNIPER上也能看到隧道的连接情 况。 4、该页其他选项保留就行了。 三、JUNIPER防火墙放通双向规则 1、建立IP组，可以给一个段的IP设置一个名称，点击 【policy】–【Policy Elements】 –【address】— 【list】— 【new】 也可以设置多个IP段同属于一个IP组，【policy】— 【PolicyElements】–【addresses】 — 【group】— 【new】 2、设置数据流向策略。点击 【Policies】，选择 【Untrust to Trust】 3、点右上角的 【New】，源地址为对方IP段，目标地址为本方IP段，其他保留，【Action】 选择 【Tunnel】，【Tunnel VPN】 选择你在 【AutoKey IKE】里设置的VPN通道。 4、再选择 【Trust to Untrust】，新建一条反向的规则 只做通单向时，Action只显示一把锁 做通双向时，显示的是双通的锁 四、SANGFOR NGAF设备配置 1、WAN 口勾选【与IPSEC VPN 出口线路匹配】，在该接口上对接VPN 2、【VPN】- 【IPSEC VPN】- 【VPN接口设置】，要通讯的内网接口 3、【DLAN运行状态】处于运行中 五、SANGFOR VPN标准IPSEC VPN配置 1、【VPN】- 【IPSEC VPN】- 【第一阶段】 2、配置对方的公网IP地址与共享密钥 3、选择高级，支持模式主模式以及ISAMP算法 4、【VPN】- 【IPSEC VPN】- 【第二阶段】，【VPN】- 【IPSEC VPN】- 【第二阶段】- 【入站策 略】，添加对方要访问过来的IP网段。 5、【VPN】- 【IPSECVPN】- 【第二阶段】- 【出站策略】，添加本地要访问到对方的本地内网 网段 3 测试效果 以上都配置完成后，可以在DLAN运行状态中看到当前连接状态 技术支持 用户支持邮箱：support@ 技术支持热线电话：400-630-6430 （手机、固话均可拨打） 深信服社区： 技术支持在线咨询：进入深信服官网或深信服社区，选择在线咨询 技术支持7*24 小时智能机器人： ①、进入深信服社区，页面右侧悬浮框进入 “智能客服” ②、关注微信公众号 “深信