Juniper，将野蛮进行到底

amy_888

　　IKE 的协商模式
　　在RFC2409（The Internet Key Exchange ）中规定，IKE 第一阶段的协商可以采用两种模式：主模式（Main Mode ）和野蛮模式（Aggressive Mode ）。
　　主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息；交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了消息的开销。
　　野蛮模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数，但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制，但可以满足某些特定的网络环境需求。
　　野蛮模式的作用：
　　对于两端IP地址不是固定的情况（如ADSL拨号上网），并且双方都希望采用预共享密钥验证方法来创建IKE SA，就需要采用野蛮模式。另外如果发起者已知回应者的策略，采用野蛮模式也能够更快地创建IKE SA。
　　（以上信息来自于互联网，请尊重版权。）
　　使用野蛮模式可以快速构建***，在网上有很多使用华为设备来做野蛮模式的案例，但是Juniper几乎无人问津。本篇，系笔者倾力打造，绝对原创，谢绝一切转载、摘抄、剽窃等侵权行为。接下来，笔者将和您一同领略Juniper那无限的风采。另：为了便于您更好的理解Juniper的配置，笔者分别使用两种方式（命令行与Web方式）进行配置。
　　Juniper命令行模式配置
　　实验环境：某公司总部位于北京，分公司位于上海和台湾，现本公司想要实现总部与各个分公司的内网通讯，但是分公司使用的地址是动态IP，因此，需要使用野蛮模式来构建***
　　实验拓扑：

　　实验设备：
　　Juniper防火墙（SSG 5）一台
　　Juniper 防火墙(NS 25)一台
　　华为三层交换机(S3526)一台
　　实验步骤：
　　1.配置三层交换机

　　2.配置上海防火墙

　　3.配置台湾防火墙

　　4.配置北京防火墙

　　5.使用上海PC进行测试

　　6.使用台湾PC进行测试

　　
　　Juniper 浏览器配置模式
　　提前声明：1.为了节省时间和空间，笔者只是进行北京和台湾的配置，北京和上海的配置与此类似，笔者不再额外讲述。
　　2.此次在各分公司防火墙上使用的虽然是静态的地址，但是笔者配置的模式依然是野蛮模式，因此，对实验结果毫无影响。
　　
　　实验环境：某公司总部位于北京，分公司位于上海和台湾，现本公司想要实现总部与各个分公司的内网通讯，但是分公司使用的地址是动态IP，因此，需要使用野蛮模式来构建***
　　实验拓扑：

　　实验设备：
　　Juniper防火墙（SSG 5）一台
　　Juniper 防火墙(NS 25)一台
　　华为三层交换机(S3526)一台
　　实验步骤：
　　1.配置三层交换机

　　2.配置台湾防火墙

　　3.配置北京防火墙

　　4.再次配置上海和北京防火墙
　　上海和北京之间配置与台湾和北京配置类似，笔者进行省略。
　　5.使用上海PC进行测试

　　6.使用台湾PC进行测试

　　总结：
　　命令行配置步骤：
　　分公司配置：
　　1.基本配置（IP地址、网关等）
　　2.配置各个地址段
　　3.配置Gateway（远端静态地址、本地ID、野蛮模式、密钥、加密等）
　　4.配置***（使用定义的Gateway）
　　5.配置策略（依据地址段进行控制、转入通道、使用定义的***）
　　总公司配置：
　　1.基本配置（IP地址、网关等）
　　2.配置各个地址段
　　3.配置Gateway（远端动态地址、邻居ID、野蛮模式、密钥、加密等）
　　4.配置***（使用定义的Gateway）
　　5.配置策略（依据地址段进行控制、转入通道、使用定义的***）
　　浏览器配置：
　　分公司配置：
　　1.基本配置（IP地址、网关等）
　　2.配置Gateway（远端静态地址、本地ID、野蛮模式、密钥、加密等）
　　3.配置Auto IKE（定义***，使用使用定义的Gateway）
　　4.配置Policies（依据地址段进行控制、转入通道、使用定义的***）
　　总公司配置：
　　1.基本配置（IP地址、网关等）
　　2配置Gateway（远端动态地址、邻居ID、野蛮模式、密钥、加密等）
　　3配置Auto IKE（定义***，使用使用定义的Gateway）
　　4配置Policies（依据地址段进行控制、转入通道、使用定义的***）