Juniper与H3C互联IP-Sec VPN中要注意的几点问题

引子:
  前一段时间公司网络改造,主要设备升级成了H3C的产品,主路由用的是H3C MSR5006。由于公司财务要通过VPN与总公司的财务服务器相联,所以必须连通与总公司Juniper SSG 140的VPN。本来我以为这不是个问题,因为两家设备都支持IP-Sec VPN,但卖设备派过来的H3C技术员用了一个多小时没有调通,这下我急了。在接下来的两天里,我经历了无数的痛苦,论坛也上了,朋友也问了,答案大抵就是“可能没办法联”、“需要再申请个IP”,“换设备”,没一个我想要的。
  可是我就是个不信邪的人。在最忙的几天过去后,每天晚上我上网查材料、试验,先是试通了L2TP的联通方式,然后歪打正着解决了Juniper SSG140 与H3C MSR5006的IP-Sec VPN最终居然歪打正着给实现了!
  现在我就把这个过程中我的一些心得分享给大家,希望能大家有用!
  一、 Juniper和H3C的设备是完全可以互联IP-Sec VPN的!
那些说不能互联的人是不负责任的,因为网上有不少人实践成功过Juniper与思科、华为、H3C等厂家设备的IP-Sec VPN的互联,毕竟IP-Sec是个通用的技术,兼容怎么说也是应该的吧。
  二、 除了直接路由设备的对联之外,不要忘记了 L2TP这种以拨入方式实现VPN的方法!
至少这个方法在你暂时无法实现完全VPN的时候可以一时应急。
  三、 在Juniper设备中设置IP-Sec时要注意把VPN第一阶段那个模式选成“Compatible”(“兼容”的意思)而不是“Standard”,不是“Basic”,也不是“Custom”!
  四、 在H3C设备中要把几个参数与Juniper中的调成一样,我这边的只调了一个第一阶段的sa duration 28800
  五、 要注意两个设备每个阶段的加密算法保持一致。
  六、 建立两个VPN连接,名字不一样,参数什么的一样就行了,连接好后一个显示连通,一个显示不通。不通的那个不能删除,删除了以后就连不上。至于为什么是这样,我现在也想不明白,期待高手指点。
  七、 下边是我当时找的一些材料,我打了包了,有兴趣的朋友可以看一下。

直接设备VPN互联方面有:

《H3C SecPath防火墙和Juniper(Netscreen)防火墙对接S2S主模式IPSec典型配置》、《H3C-juniper设备对接ipsce_vpn配置》、《NetScreen VPN手册 ce_v4_sc》、《H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-IPsec VPN》。

L2TP方面有:《L2TP on Netscreen SSG 140》、《Juniper防火墙图解VPN配置》、《Netscreen L2tp 配置方法》、《Netscreen 基于拨号的VPN-自动密钥IKE config》。
下载地址:http://dl.dbank.com/c0pcvrov8c
八、 最欢迎朋友们与我交流,并期待高手指点迷津,消除那一点点疑惑,让我明明白白。

珞珞石头
2011-3-19

宽带路由器当交换机用出故障,发送大量ARP包,致使网络性能下降

上次,也是这个宽带路由器,因为开着DHCP让我的网络不稳定,这次又是它!

网络不稳定好几天了,上网时断时续,感觉还是ARP病毒,可是因为没有软件真的不好查。一个偶然机会,我在网上发现了一个软件“科来网络分析系统6.8技术交流版”。不过安装的时候有点遗憾,不能布署,因为我的网络不支持,只能看到自己机器上的流量,数据反映的结果太片面,不能看到整个网络的情况!

不管了,先装上,检测流量了20多分钟,出结果了

看得很清楚,第一个是网关,没错,第四个就不对了,发送流量30.369%,明显有问题!再看问题诊断

根据科来的帮助,问题是可能存在ARP欺骗。上次的故障让我知道这个地址其实是那个充当交换机的宽带路由器的地址,所以我就直接找到宽带路由器,重新启动,网络一切正常!

问题解决了,可是一点也不轻松。看来还是要换设备。我们那个网络出口用的宽带路由器性能比较差,连那个机器连在机器上都看不出来!出现网络故障全凭感觉去排查,效率太低了,如里出现再复杂的故障,真的可能就是束手无策了!

ARP攻击?——因两部宽带路由器同时开启DHCP导致疑似ARP攻击的网络故障

  这两天公司的局域网不太平,总是不时有部分机器不能上网。再一看它们的地址(都是通过DHCP自动分配的),好家伙,就不是所开通DCHP地址池里的地址,根本就不是一个网段,网关直接指向172.***.*0.1!

  我第一个反映就是:ARP病毒攻击!不过怪了,公司的MAC我都统计过,怎么172.***.***.***这个地址对应的MAC是02-**-**-**-**-**,真晕了!

  直接在地址栏里打172.***.***.***,好家伙,出来的登录页面!不管了,直接输入admin,admin……竟然进去了,好像是个路由器的配置页面!打开局域网配置一项一看,乖乖,开着DHCP,接局域网的MAC就是02-**-**-**-**-**!!!再一想,是前几天公司没有交换机,我用了一个旧的宽带路由器,也没设置就用了。这个机器默认是开DHCP的。一个网段里只有一个互联网出口,但是却有两个不同网段的DHCP服务,不冲突才怪呢!

  看来,以后用宽带路由器当交换机,一定要注意这个小问题了:关闭DHCP :)