- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
SANGFOR_NGAF_v7.3_IPSEC VPN对接配置
目 录
1 应用场景1
2 配置方式及截 2
3测试效果9
1 应用场景
NGAF与JUNIPER建立第三方IPSEC VPN对接。
必要条件说明:
1) 双方都是固定IP既可以采用主模式,也可采用野蛮模式,建议采用主模式
2) 如果端口映射的情况,采用野蛮模式
拓扑环境如下所示:
2 配置方式及截
一、JUNIPER配置标准IPSEC VPN第一阶段
1、登录JUNIPER设备进去后显示如下:
软件版本
2、点 【VPNs】- 【Autokey Advanced】- 【Gateway】- 【new】
3、点右上角的 【New】,名字随便起,【SecurityLevel】选择 【custom】,【RemoteGateway
Type】我们选择 【staticIPaddress】,输入对端设备IP,也就是我们AF设备上的公网IP
4、点 【Advanced】,设置 【preshared key】(预共享密钥),然后在里面选择第一阶段的参
数,选择【custom】,加密方式选择【pre-g2-3des-md5】,也就是预共享密钥+组2+3des+md5,
Mode选择 【main】(主模式),该页其他参数保留默认值即可。
二、JUNIPER配置标准VPN第二阶段
1、点 【VPNs】 【Autokey IKE】,配置标准IPSec第二阶段
2、点右上角的 【New】,名字随便起,【RemoteGateway】选择之前我们定义好的第一阶段网
关名字,这里为 “广办”
3、再点击 【Advanced 】,【Security Level 】选择 【Custom】,阶段 2 策略选择
【nopfs-esp-des-md5】,表示没有完美向前保护+esp+des+md5, proxyid勾上,填上本地
ip范围和对方ip范围,【VPNMonitor】也勾上,这样在JUNIPER上也能看到隧道的连接情
况。
4、该页其他选项保留就行了。
三、JUNIPER防火墙放通双向规则
1、建立IP组,可以给一个段的IP设置一个名称,点击 【policy】–【Policy Elements】
–【address】— 【list】— 【new】
也可以设置多个IP段同属于一个IP组,【policy】— 【PolicyElements】–【addresses】
— 【group】— 【new】
2、设置数据流向策略。点击 【Policies】,选择 【Untrust to Trust】
3、点右上角的 【New】,源地址为对方IP段,目标地址为本方IP段,其他保留,【Action】
选择 【Tunnel】,【Tunnel VPN】 选择你在 【AutoKey IKE】里设置的VPN通道。
4、再选择 【Trust to Untrust】,新建一条反向的规则
只做通单向时,Action只显示一把锁
做通双向时,显示的是双通的锁
四、SANGFOR NGAF设备配置
1、WAN 口勾选【与IPSEC VPN 出口线路匹配】,在该接口上对接VPN
2、【VPN】- 【IPSEC VPN】- 【VPN接口设置】,要通讯的内网接口
3、【DLAN运行状态】处于运行中
五、SANGFOR VPN标准IPSEC VPN配置
1、【VPN】- 【IPSEC VPN】- 【第一阶段】
2、配置对方的公网IP地址与共享密钥
3、选择高级,支持模式主模式以及ISAMP算法
4、【VPN】- 【IPSEC VPN】- 【第二阶段】,【VPN】- 【IPSEC VPN】- 【第二阶段】- 【入站策
略】,添加对方要访问过来的IP网段。
5、【VPN】- 【IPSECVPN】- 【第二阶段】- 【出站策略】,添加本地要访问到对方的本地内网
网段
3 测试效果
以上都配置完成后,可以在DLAN运行状态中看到当前连接状态
技术支持
用户支持邮箱:support@
技术支持热线电话:400-630-6430 (手机、固话均可拨打)
深信服社区:
技术支持在线咨询:进入深信服官网或深信服社区,选择在线咨询
技术支持7*24 小时智能机器人:
①、进入深信服社区,页面右侧悬浮框进入 “智能客服”
②、关注微信公众号 “深信
您可能关注的文档
- SANGFOR_NGAF_v6.8_SSL解密配置指导.pdf
- SANGFOR_NGAF_v6.8_安全状况说明.pdf
- SANGFOR_NGAF_v6.8_策略路由配置.pdf
- SANGFOR_NGAF_v6.8_单臂模式下SANGFOR VPN配置指导.pdf
- SANGFOR_NGAF_v6.8_导入离线规则库.pdf
- SANGFOR_NGAF_v6.8_路由模式场景下高可用性配置.pdf
- SANGFOR_NGAF_v6.8_通过SNMP协议监控AF状态.pdf
- SANGFOR_NGAF_v6.8_网站篡改防护2.0测试文档.pdf
- SANGFOR_NGAF_v6.8_威胁情报预警与处置说明文档.pdf
- SANGFOR_NGAF_v6.8_虚拟网线模式部署配置.pdf
文档评论(0)