引子:
前一段时间公司网络改造,主要设备升级成了H3C的产品,主路由用的是H3C MSR5006。由于公司财务要通过VPN与总公司的财务服务器相联,所以必须连通与总公司Juniper SSG 140的VPN。本来我以为这不是个问题,因为两家设备都支持IP-Sec VPN,但卖设备派过来的H3C技术员用了一个多小时没有调通,这下我急了。在接下来的两天里,我经历了无数的痛苦,论坛也上了,朋友也问了,答案大抵就是“可能没办法联”、“需要再申请个IP”,“换设备”,没一个我想要的。
可是我就是个不信邪的人。在最忙的几天过去后,每天晚上我上网查材料、试验,先是试通了L2TP的联通方式,然后歪打正着解决了Juniper SSG140 与H3C MSR5006的IP-Sec VPN最终居然歪打正着给实现了!
现在我就把这个过程中我的一些心得分享给大家,希望能大家有用!
一、 Juniper和H3C的设备是完全可以互联IP-Sec VPN的!
那些说不能互联的人是不负责任的,因为网上有不少人实践成功过Juniper与思科、华为、H3C等厂家设备的IP-Sec VPN的互联,毕竟IP-Sec是个通用的技术,兼容怎么说也是应该的吧。
二、 除了直接路由设备的对联之外,不要忘记了 L2TP这种以拨入方式实现VPN的方法!
至少这个方法在你暂时无法实现完全VPN的时候可以一时应急。
三、 在Juniper设备中设置IP-Sec时要注意把VPN第一阶段那个模式选成“Compatible”(“兼容”的意思)而不是“Standard”,不是“Basic”,也不是“Custom”!
四、 在H3C设备中要把几个参数与Juniper中的调成一样,我这边的只调了一个第一阶段的sa duration 28800
五、 要注意两个设备每个阶段的加密算法保持一致。
六、 建立两个VPN连接,名字不一样,参数什么的一样就行了,连接好后一个显示连通,一个显示不通。不通的那个不能删除,删除了以后就连不上。至于为什么是这样,我现在也想不明白,期待高手指点。
七、 下边是我当时找的一些材料,我打了包了,有兴趣的朋友可以看一下。
直接设备VPN互联方面有:
《H3C SecPath防火墙和Juniper(Netscreen)防火墙对接S2S主模式IPSec典型配置》、《H3C-juniper设备对接ipsce_vpn配置》、《NetScreen VPN手册 ce_v4_sc》、《H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-IPsec VPN》。
L2TP方面有:《L2TP on Netscreen SSG 140》、《Juniper防火墙图解VPN配置》、《Netscreen L2tp 配置方法》、《Netscreen 基于拨号的VPN-自动密钥IKE config》。
下载地址:http://dl.dbank.com/c0pcvrov8c
八、 最欢迎朋友们与我交流,并期待高手指点迷津,消除那一点点疑惑,让我明明白白。
珞珞石头
2011-3-19