基于Policy的×××


1. 基于策略的×××

数据通过匹配Policy,而被IPsec的Tunnel封装转发的×××


1. 建立IKE的网关


a. 建立IKE的网关

set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub

proposal pre-g2-3des-md5

b. 配置IKE网关的高级参数

配置NAT的穿越


2. 建立×××

a. 建立一个×××需要挂载在阶段一建立的网关

set *** y1-y2 gateway to-y2 sec-level standard


3. 需要地址目标

set address untrust 10.1.2.0 10.1.2.0/24

set address home 10.1.1.0 10.1.1.0/24


4. 配置触发IPsec ×××建立的隧道(policy 必须是双向的)

set policy top from home to untrust 10.1.1.0 10.1.2.0 any tunnel *** y1-y2


set policy top from untrust to home 10.1.2.0 10.1.1.0 any tunnel *** y1-y2



×××的检查:

ping 10.1.2.1 from eth 2


检查阶段1的网关状态:

get ike cookies


检查阶段2的SA:

get sa active


清除SA:

clear sa 1


* Juniper 防火墙常见的×××故障点:


1. Proxy Id 不对应,地址列表配置错误

2. 阶段1和阶段2的Proposal不匹配

3. 与共享密钥不匹配

4. 没有Route的信息(将不能够触发IPsec ×××隧道的建立)



* get log event 查看Log的事件日志

* get event type 536 查看×××的初始化和响应者的消息