Hillstone SA-5020 Juniper SSG 520 ×××互联<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

环境描述:

如图所示:左边设备是Hillstone SA-5020,右边Juniper SSG 520.

两条×××隧道:<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2.2.2.21.1.1.1互连;172.16.1.0192.168.8.0互连。两端都通过IKE方式来自动协商×××

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />Hillstone SA-5020 与Juniper SSG 520 的×××互联

配置过程:Hillstone SA-5020

1,网络配置:基本的接口信息(两个tunnel 口分别绑定两个×××隧道)

Hillstone SA-5020 与Juniper SSG 520 的×××互联

2,路由设置:一条默认路由用来找到对端网关,两条隧道路由(到对端两个子网去的数据分别走两个不同的tunnel

Hillstone SA-5020 与Juniper SSG 520 的×××互联 

3,策略配置:一条从内到外的策略放通所有流量,为方便测试放通从外面来的PING包。

Hillstone SA-5020 与Juniper SSG 520 的×××互联      4×××阶段一配置(主模式、接口、对端IP、协商方式、共享**)

Hillstone SA-5020 与Juniper SSG 520 的×××互联

5×××阶段二配置,共两条隧道,一条名为hs-ns,一条名为loop

(对端名称,协商方式,ID号(要手动指定ID号,和对端匹配,不能自动协商),自动连接选上可以保持×××的连接)

Hillstone SA-5020 与Juniper SSG 520 的×××互联 

Hillstone SA-5020 与Juniper SSG 520 的×××互联 

Hillstone SA-5020 与Juniper SSG 520 的×××互联
 
配置完成后,可以查看所建隧道的状态。

Hillstone SA-5020 与Juniper SSG 520 的×××互联

 

配置过程:Juniper SSG520

1,基本网络配置,只要配好接口信息和默认路由。

 Hillstone SA-5020 与Juniper SSG 520 的×××互联

 

Hillstone SA-5020 与Juniper SSG 520 的×××互联

 

 

2,建好策略,匹配两端地址的流量都交给tunnel,在策略中选中Modify matching bidirectional ××× policy,可以匹配双向的流量,从而使两端都可以发起×××连接。

Hillstone SA-5020 与Juniper SSG 520 的×××互联
 
3×××阶段一:对端IP、预共享**、协商方式。

Hillstone SA-5020 与Juniper SSG 520 的×××互联
4×××阶段二配置:对端名称、协商方式、ID号(如果用隧道路由的方式可以不用ID号,直接绑定tunnel就可以)

 Hillstone SA-5020 与Juniper SSG 520 的×××互联

 
Hillstone SA-5020 与Juniper SSG 520 的×××互联
5,查看×××隧道,协商成功后状态会显示Active

Hillstone SA-5020 与Juniper SSG 520 的×××互联 

 
Hillstone SA-5020 与Juniper SSG 520 的×××互联
 
×××连通测试。

1,  172.16.1.9 ping 192.168.8.23 

如左下图所示,前面正在协商的时候有丢包,协商通过后PING通。

2,  1.1.1.1 ping 2.2.2.2

SSG 520上从loopback1发起PING包,正常通过。

注:从hillstone上的loopback1发起PING包后,SSG 520会正常回应,×××也能协商通过,但是hillstone loopback口不能接收到ICMP包。

 Hillstone SA-5020 与Juniper SSG 520 的×××互联