基于Policy的×××

1. 基于策略的×××

数据通过匹配Policy，而被IPsec的Tunnel封装转发的×××

1. 建立IKE的网关

a. 建立IKE的网关

set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub

proposal pre-g2-3des-md5

b. 配置IKE网关的高级参数

配置NAT的穿越

2. 建立×××

a. 建立一个×××需要挂载在阶段一建立的网关

set *** y1-y2 gateway to-y2 sec-level standard

3. 需要地址目标

set address untrust 10.1.2.0 10.1.2.0/24

set address home 10.1.1.0 10.1.1.0/24

4. 配置触发IPsec ×××建立的隧道(policy 必须是双向的）

set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2

set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2

×××的检查：

ping 10.1.2.1 from eth 2

检查阶段1的网关状态：

get ike cookies

检查阶段2的SA：

get sa active

清除SA：

clear sa 1

* Juniper 防火墙常见的×××故障点：

1. Proxy Id 不对应，地址列表配置错误

2. 阶段1和阶段2的Proposal不匹配

3. 与共享密钥不匹配

4. 没有Route的信息（将不能够触发IPsec ×××隧道的建立）

*　get log event 查看Log的事件日志

* get event type 536 查看×××的初始化和响应者的消息