基於Policy的×××cookie
1. 基於策略的×××ide
數據經過匹配Policy,而被IPsec的Tunnel封裝轉發的×××3d
1. 創建IKE的網關日誌
a. 創建IKE的網關事件
set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub ip
proposal pre-g2-3des-md5 md5
b. 配置IKE網關的高級參數get
配置NAT的穿越it
2. 創建×××cookies
a. 創建一個×××須要掛載在階段一創建的網關
set *** y1-y2 gateway to-y2 sec-level standard
3. 須要地址目標
set address untrust 10.1.2.0 10.1.2.0/24
set address home 10.1.1.0 10.1.1.0/24
4. 配置觸發IPsec ×××創建的隧道(policy 必須是雙向的)
set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2
set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2
×××的檢查:
ping 10.1.2.1 from eth 2
檢查階段1的網關狀態:
get ike cookies
檢查階段2的SA:
get sa active
清除SA:
clear sa 1
* Juniper 防火牆常見的×××故障點:
1. Proxy Id 不對應,地址列表配置錯誤
2. 階段1和階段2的Proposal不匹配
3. 與共享密鑰不匹配
4. 沒有Route的信息(將不可以觸發IPsec ×××隧道的創建)
* get log event 查看Log的事件日誌
* get event type 536 查看×××的初始化和響應者的消息