Juniper 基于策略的***
基于Policy的***1. 基于策略的***
数据通过匹配Policy,而被IPsec的Tunnel封装转发的***
1. 建立IKE的网关
a. 建立IKE的网关
set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub
proposal pre-g2-3des-md5
b. 配置IKE网关的高级参数
配置NAT的穿越
2. 建立***
a. 建立一个***需要挂载在阶段一建立的网关
set *** y1-y2 gateway to-y2 sec-level standard
3. 需要地址目标
set address untrust 10.1.2.0 10.1.2.0/24
set address home 10.1.1.0 10.1.1.0/24
4. 配置触发IPsec ***建立的隧道(policy 必须是双向的)
set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2
set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2
***的检查:
ping 10.1.2.1 from eth 2
检查阶段1的网关状态:
get ike cookies
检查阶段2的SA:
get sa active
清除SA:
clear sa 1
* Juniper 防火墙常见的***故障点:
1. Proxy> 2. 阶段1和阶段2的Proposal不匹配
3. 与共享密钥不匹配
4. 没有Route的信息(将不能够触发IPsec ***隧道的建立)
* get log event 查看Log的事件日志
* get event type 536 查看***的初始化和响应者的消息
页:
[1]