我会经常给大家分享各种IT技术文章，工程狮/程序猿们多多关注哟～

业务需要，做个IPSec，本来想做传统的基于策略的IPsec，后面想了下还是做基于虚拟隧道的IPSec*后续方便扩展。这种不同厂商设备做 威皮N 本来就各种问题，做之前就心有揣之。

果不其然配置过程遇到几个问题，找了厂家，厂家回复说很少做基于虚拟隧道的*，一时半会找不到问题，后续还是自己一步步排查**

H3C路由配置：

配置第一阶段协商参数比较重要，华三路由器有默认的，但是不同厂商之间默认参数有时候会对不上

ike local-name h3c //设置本地IDike proposal 20 //配置第一阶段参数 dh group2 authentication-algorithm md5 encryption-algorithm des-cbc authentication-method pre-shareike peer juniperfw //配置对等体，因为本端adsl无固定IP，本地ID跟对端ID 要两端匹配上 exchange-mode aggressive proposal 20 pre-shared-key cipher 123456 id-type name remote-name juniper local-name h3cipsec transform-set method1 //配置二阶段参数 encapsulation-mode tunnel transform esp esp authentication-algorithm md5 esp encryption-algorithm desipsec profile tojuniper ike-peer juniperfw transform-set method1interface tunnel10 ip address 1.1.1.1 255.255.255.252 tunnel-protocol ipsec ipv4 source Dialer10 //引用拨号口 destination <对端公网IP> ipsec profile tojuniperip route-static 172.31.1.1 255.255.255.0 Tunnel10

Juniper 配置：

创建tunnel口，IP地址跟对端对上

配置Ipsec 网关：

对端是adsl无固定地址,选择Dynamic IPaddress （peer ID 要对上对端的配置）

点高级，local ID 也要两端对上 ，出接口选对，阶段1 proposal 要跟对端proposal匹配上，选择野蛮模式

页面选择s-AutoKEY IKE ： 创建IKE 这里设置阶段2的参数：

点高级：阶段2参数两端一致 ， 选择tunnel接口

最后写上duidu对端路由指向 tunnel口 ，然后配置放行策略。

©著作权归作者所有：来自51CTO博客作者lyl无状态的原创作品，如需转载，请注明出处，否则将追究法律责任