juniper防火墙做ipsec ***必须开放的端口
我们网络环境边缘常常有防火墙,主要起到隔离网络保护内外网安全,如在边缘网络MIP一个公网地址给内网的一个×××设备,此时为了安全起见需要边缘网络有选择性的开放端口或协议,MIP如下:
在做IPSEC ×××时如果必须要开放IKE,对应端口号UDP:500,有时为了穿透NAT设备应相应开放UDP:4500端口,在网上找到的资料一般是开放这两个端口,这样我们做IPSEC ×××时可以做通但是×××死活不通,遂道建立不起来,查阅相关资料提示要开通esp和AH协议,esp采用50,AH用51协议号,在juniper下开通协议号如下:
最后我开放untrust----trust的服务(上图自定义的ipsec ***)即可:
另:l2tp ***要开放UDP:1701
PPTP ×××要开放TCP:1723
赞 (0)