一、组网需求

            我司EG设备作为分支，出口ip地址为1.2.8.4，juniper总部有两个出口线路（E0/1出口ip地址为1.2.8.16，E0/2出口ip地址为10.1.2.1），一主一备，

            分支配置双peer方式分别与总部对接采用野蛮模式建立点对点ipsec实现主备冗余切换，当主线路断开时，自动切换到备线路上，网段10.10.10.0到20.20.20.0 为感兴趣流

    注：所谓双peer指的是总部有两个出口线路，一主一备，分支配置两个peer，实现备份(实际上同时只有一条隧道).

 

二、配置要点

            1、配置EG（分部）为ipsec客户端。

            2、配置juniper（总部）为ipsec服务器端。

            3、两端的参数要保持一致，本案例选择的参数如下：

                  认证方式：预共享密钥，密钥为ruijie

           IKE算法：3DES-MD5，DH2

                  IPSec协商交互方案：esp(3des-md5)

            注意：

1、默认进“快速配置”上网后，在命令行下的外网接口配置有下发了”nexthop 外网网关地址“的命令。该命令不能 删除，否则web上无法选择接口，也就无法完成ipsec配置。

2、配置vpn后设备会自动下发aaa配置 （登录设备的时候会提示输入用户名和密码，所以要重新配置telnet的密码）。

3、当配置vpn的时候，第一次配置完并且清空配置，当没有关闭浏览器的时候，下次配置之前的配置仍然后记忆，要是关 闭浏览器，再次配置，之前的配置才会被清空。

三、配置步骤

1、配置分部EG的IPSEC

1）通过快速配置实现总部的基本上网需求，如果可以是目前是已经可以正常上网的情况，先检测下，外网口是否配置了"nexthop"。

            2）配置分部EG的IPSEC

                 点击VPN配置选择网络位置为"分支机构"

           

            下一步进行“分支机构的配置”，添加主备设备ip

           

一阶段协商参数：

              IKE算法：DES-SHA，DH1

注：PJ33以前版本DH组目前只有1和2，因为DH5算法比较复杂而且消耗设备性能，若非特殊情况建议采用DH1或DH2

二阶段协商参数：

              转换集：IPSec协商交互方案：esp(des-sha-mac)       

协商模式：野蛮模式（Aggressive Mode）

完美向前加密（PFS）：不启用（对端未开启）

DPD探测：探测周期30S，探测类型按需

crypto isakmp keepalive 10 on-demand         //配置DPD探测周期为10秒，并且探测模式为按需。

注意：DPD的探测模式有周期探测和按需探测两种；一般使用按需探测模式即可。

周期探测：该机制是在超过配置的时间后就会主动，周期性地发送 DPD探测消息；默认最大重传次数5次。

按需探测：该机制在隧道闲置时间超过配置的时间，且此时有报文发送时，才会刺激发送 DPD 探测消息。

感兴趣流：本端10.10.10.0/24，总部20.20.20.0/24

注意：只有接口下配置了nexthop x.x.x.x的接口才会出现在接口列表中（快速配置完默认会在外网接口下发）。

            如果所有接口均无配置nexthop，则web上无法选择接口，无法完成ipsec配置。

 

            3、 配置总部juniper设备IPSEC

            1）通过快速配置实现总部的基本上网需求

            2）配置总部juniper设备IPSEC：

            主线路配置略（参考单出口juniper配置）

            备线路配置与主线路基本一致，区别在于添加时选择备线路的相关出口；

              

IKE版本：IKEv1（我司默认采用IKE v1.0版本）

            Remote Gateway:添加分支EG设备出口地址1.2.8.4

           

           

            一阶段协商参数：

            预共享密钥：与分支一致即可

           IKE算法：DES-SHA，DH1（group 1）

            线路出接口选择备线路出口：E0/2

           

 

            二阶段协商参数：

 IPSec协商交互方案：esp(nopfs-des-sha)，    

完美向前加密（PFS）：不启用（nopfs）

协商模式：野蛮模式（Aggressive Mode）

 

感兴趣流：总部20.20.20.0/24，分支10.10.10.0/24，

 

 

四、配置验证

 

测试结果：

 当主线路断开时，自动切换到备线路上，ping测试如下：

 

 

           

 

 

五、注意事项

 

1、总部作为多出口时，需注意路由配置；备线路起来时，ipsec流量应从备线路出口选路出去；

2、本案例双peer方式支持可抢占(即主线路正常一定要优先使用主线路，主线路的线路质量要好些)：

1）先和总部主线路建立连接，主线路异常，和备份线路建立连接

2）主线路恢复，要切换回主线路，备份线路隧道删除掉。

CLI开启抢占命令：set peer-preempt（指定高优先级的远程对等体发起抢）

       crypto map Gi0/1 1 ipsec-isakmp

 set peer 10.1.2.1 

 set peer 1.2.8.16 

 set security-association lifetime seconds 3600

set transform-set si_set_1

 set autoup

 set exchange-mode aggressive

 set mtu 1300

 set peer-preempt

 match address 199