基于Policy的×××1. 基于策略的××× 数据通过匹配Policy,而被IPsec的Tunnel封装转发的×××1. 建立IKE的网关a. 建立IKE的网关 set ike gateway
.
基于Policy的×××
1. 基于策略的×××
数据通过匹配Policy,而被IPsec的Tunnel封装转发的×××
1. 建立IKE的网关
a. 建立IKE的网关
set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub
proposal pre-g2-3des-md5
b. 配置IKE网关的高级参数
配置NAT的穿越
2. 建立×××
a. 建立一个×××需要挂载在阶段一建立的网关
set *** y1-y2 gateway to-y2 sec-level standard
3. 需要地址目标
set address untrust 10.1.2.0 10.1.2.0/24
set address home 10.1.1.0 10.1.1.0/24
4. 配置触发IPsec ×××建立的隧道(policy 必须是双向的)
set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2
set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2
×××的检查:
ping 10.1.2.1 from eth 2
检查阶段1的网关状态:
get ike cookies
检查阶段2的SA:
get sa active
清除SA:
clear sa 1
* Juniper 防火墙常见的×××故障点:
1. Proxy Id 不对应,地址列表配置错误
2. 阶段1和阶段2的Proposal不匹配
3. 与共享密钥不匹配
4. 没有Route的信息(将不能够触发IPsec ×××隧道的建立)
* get log event 查看Log的事件日志
* get event type 536 查看×××的初始化和响应者的消息
