客戶端形式的動態IP鏈接SRX的***站點

之前寫過SSG鏈接的例子

如今SSG快沒了，替代品SRX

原理上由於SRX就是SSG的替代型號，不少地方原理是同樣的，因此就不在累述了。

這裏只說明SRX的配置，做爲固定IP方出現

在JUNOS Software Release [12.1R7.9]版本下經過測試。

    st0 {
        unit 2 {
            description "To Remote×××";
            family inet;
            family inet6;
        }
    }  //創建虛擬接口

security {
    ike {
        proposal pre-g2-aes128-sha1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 28800;
        }  //起了個集合的名字pre-g2-aes128-sha1，使用共享祕鑰authentication-method pre-shared-keys，DH組用了group2，認證效驗是sha1，加密效驗是aes-128-cbc，生存時間是28800秒

        policy RemoteIKE {
            mode aggressive;
            proposals pre-g2-aes128-sha1;
            pre-shared-key ascii-text "$9$w9gZDiH.QF6GDO1EhKvgoaUHmz36p0I"; ## SECRET-DATA
        }  //創建和遠程鏈接的加密策略，使用aggressive模式，這是關鍵，通常兩個固定IP使用的是main模式，調用上面創建的pre-g2-aes128-sha1的ike集合，pre-shared-key就是祕鑰，固然是加過密的。

        gateway RemoteGW {
            ike-policy RemoteIKE;
            dynamic hostname shenxu.dyndns.org;
            external-interface ge-0/0/0;
            version v1-only;
        }  由於使用的是接口模式，因此創建ike網關，調用已經創建的加密策略RemoteIKE，dynamic hostname shenxu.dyndns.org是用來確認對端的身份的，能夠用hostname，也能夠用email地址，只要兩端一致就能夠，版本用的1，如今有2版了，還沒搞懂

    }  //這個大的組合是定義了ike協商的標準

    ipsec {
        proposal esp-3des-sha1 {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 3600;
        }   //定義ipsec採用的加密方式，協議使用esp，如今差很少站點都採用esp，認證效驗和加密效驗以及生存期的時間3600秒
        policy g2-esp-3des-sha1 {
            perfect-forward-secrecy {
                keys group2;
            }  //用的pfs的group2，這個地方各個廠商有可能很差配合，之前思科和微軟的就不行，如今不知道
            proposals esp-3des-sha1;
        } //  創建一個ipsec的加密策略

         *** Remote××× {
            bind-interface st0.2;
            ***-monitor {
                optimized;
            }
            ike {
                gateway RemoteGW;
                ipsec-policy g2-esp-3des-sha1;
            }
            establish-tunnels on-traffic;
        }
    } //創建***集合，既然是接口模式的***，必然要綁定接口bind-interface st0.2，要先創建一個虛擬接口st0.2，***-monitor 是監視***隧道死活的，若是死了接口就down了，這樣就能夠使用路由的切換，有時候也不太靈。ike是調用前面創建好的GW和安全策略，establish-tunnels on-traffic必定要是on-traffic，由於是一端發起的，是被動的，不能選immediately，兩個固定IP能夠用。

還須要訪問的安全策略，沒啥難度，在web界面就能夠很容易的完成，這裏再也不累述。

    zones {

        security-zone Remote××× {
            address-book {
                address relay 172.26.136.224/28;
            }
            interfaces {
                st0.2;
            }
        }  //創建安全區，一個是定義這個zone的地址，另外就是綁定接口st0.2，其實我以爲這個順序應該寫在訪問的安全策略前面，由於必須先有zone才能寫訪問的安全策略。這裏我以爲比ssg要好，ssg綁定接口Unnumbered必需要鏈接到一個物理接口，若是作的不對很容易形成信息泄露，好比路由協議，我在一次偶然的抓包才發現的。SRX在作Unumbered的時候沒有綁定到物理接口，只有到zone，這樣安全性提升了，不過這樣彷佛就不是Unumbered了。