Juniper 基於策略的×××

基於Policy的×××

1. 基於策略的×××

數據經過匹配Policy，而被IPsec的Tunnel封裝轉發的×××

1. 創建IKE的網關

a. 創建IKE的網關

set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub

proposal pre-g2-3des-md5

b. 配置IKE網關的高級參數

配置NAT的穿越

2. 創建×××

a. 創建一個×××須要掛載在階段一創建的網關

set *** y1-y2 gateway to-y2 sec-level standard

3. 須要地址目標

set address untrust 10.1.2.0 10.1.2.0/24

set address home 10.1.1.0 10.1.1.0/24

4. 配置觸發IPsec ×××創建的隧道(policy 必須是雙向的）

set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2

set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2

×××的檢查：

ping 10.1.2.1 from eth 2

檢查階段1的網關狀態：

get ike cookies

檢查階段2的SA：

get sa active

清除SA：

clear sa 1

* Juniper 防火牆常見的×××故障點：

1. Proxy Id 不對應，地址列表配置錯誤

2. 階段1和階段2的Proposal不匹配

3. 與共享密鑰不匹配

4. 沒有Route的信息（將不可以觸發IPsec ×××隧道的創建）

*　get log event 查看Log的事件日誌

* get event type 536 查看×××的初始化和響應者的消息