Cisco与Juniper的IPSecVPN配置

不同厂家之间的IPSec VPN By Mast 以上这些都是同一品牌的设备，它们之间的互通当然要好实现一些，可是在实际的项目中各个单位并没有都使用Cisco 的设备，那么不同的厂家的设备之间建立IPSec VPN 能够通讯吗？其实只要各个厂家都遵循标准的IPSec 协议，在加上用户对IPSec VPN 理解透彻的话，一样能够实现互通，只不过稍微麻烦一点而已。笔者就在NetScreen 的NS25 防火墙和 Cisco 的ASA5505 防火墙之间就实现了 IPSec VPN 互通。网络拓扑如图四所示： 图 4 ASA5505 防火墙的配置与前面的一样，配置结果如下： ASA(config)# cry pto isakmp policy 10 ASA(config-isakmp-policy )# encry ption 3des ASA(config-isakmp-policy )# au thentication pre-share ASA(config-isakmp-policy )# hash md5 ASA(config-isakmp-policy )# grou p 2 ASA(config-isakmp-policy )# ex it ASA(config)# cry pto isakmp key cjgsv pn add 59.196.234.42 ASA(config)# cry pto ipsec transform-set cjgsset esp-3des esp-md5-hmac ASA(config)# access-list permitv pn permit ip 172.19.30.0 255.255.255.128 192.168.0.0 255.255.255.0 ASA(config)# cry pto map v pn 10 ipsec-isakmp ASA(config)# cry pto map v pn 10 match address permitv pn ASA(config)# cry pto map v pn 10 set peer 59.196.234.42 ASA(config)# cry pto map v pn 10 set transform-set cjgsset ASA(config)# cry pto map v pn interface ou tside ASA(config)# cry pto isakmp enable ou tside 再看看NS25 上的配置。在 NS25 上是采用图形界面完成的IPSec VPN 的配置，具体过程如下： 第一步：在 NS25 上建立两个地址本，分别代表本地的地址和需要访问的地址，其实就是定义感兴趣的流量的地址，总部的地址段定义在 Untru st 区域，改制单位的定义在 Tru st 区域，在左边菜单上依次选择 Objects-〉Addresses-〉List 如图五所示： 图5 总部的地址段 然后再建立改制单位的地址段，如图六所示： 图6 改制单位的地址段 第二步，确定要使用的第一阶段和第二阶段的策略。在 NS25 中已经预定义了第一阶段和第二阶段的各种参数的组合，如图七所示，在菜单中依次选择VPNs-〉Au toKey Adv anced-〉P1 Prosal 图7 阶段一的参...