Juniper 基於策略的×××

基於Policy的×××cookie


1. 基於策略的×××ide

數據經過匹配Policy,而被IPsec的Tunnel封裝轉發的×××3d


1. 創建IKE的網關日誌


a. 創建IKE的網關事件

set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub ip

proposal pre-g2-3des-md5 md5

b. 配置IKE網關的高級參數get

配置NAT的穿越it


2. 創建×××cookies

a. 創建一個×××須要掛載在階段一創建的網關

set *** y1-y2 gateway to-y2 sec-level standard


3. 須要地址目標

set address untrust 10.1.2.0 10.1.2.0/24

set address home 10.1.1.0 10.1.1.0/24


4. 配置觸發IPsec ×××創建的隧道(policy 必須是雙向的)

set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2


set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2



×××的檢查:

ping 10.1.2.1 from eth 2


檢查階段1的網關狀態:

get ike cookies


檢查階段2的SA:

get sa active


清除SA:

clear sa 1


* Juniper 防火牆常見的×××故障點:


1. Proxy Id 不對應,地址列表配置錯誤

2. 階段1和階段2的Proposal不匹配

3. 與共享密鑰不匹配

4. 沒有Route的信息(將不可以觸發IPsec ×××隧道的創建)



* get log event 查看Log的事件日誌

* get event type 536 查看×××的初始化和響應者的消息

相關文章
相關標籤/搜索