juniper-ipsec *** web及cli配置

基于tunnel口的×××配置

名词：tunnel口：虚拟接口

Ike阶段：ipsec ***的第一阶段，两台设备互联地址协商

Ipsec阶段:加密感兴趣流，即内部通讯的数据

建立tunnel口，配置ip地址（非必需），对端也许要配置，此处不截图。

配置ike阶段，填写对端的公网地址，并且给ike取个名字，对端与这边配置相同，ip地址都是填写对方的公网ip

选择高级----1共享密钥，两段一致。2出接口。3一阶段提议，包括验证方法和算法，两端必须一致。

配置第二阶段，起个名字，并且在remote gateway刚刚建立的第一阶段，再点击高级。

配置高级选项，上面是第二阶段的提议，包括算法，认证方式，协议两端一致。基于路由的***需绑定tunnel接口，这里是刚才建立的tunnel口，下面*** monitor是能看到***状态的复选项，建议勾选。Optimized rekey都是***链路的优化，建议勾选，并两端一致。

至此，ipsec ***建立完毕，再到policy把两端网段的策略做放行，并且将路由表里面添加到对端网络的路由添加，下一跳为tunnel口的地址即可。

注意：Tunnel口up说明***已经建立，当tunnel口没有绑定***（第二阶段那里），会是常up状态。

CLI版本

Cli比较简洁，思路与web一致，创建tunnel口、创建1阶段、创建2阶段。

set interface "tunnel.7" zone "Untrust"

set interface tunnel.7 ip 10.0.128.73/30

set ike gateway "to_IDC" address X.X.189.68 Main outgoing-interface "ethernet0/0" preshare "juniper" proposal "pre-g2-3des-sha"

set *** TY2IDC gateway to_IDC no-replay tunnel idletime 0 proposal g2-esp-3des-sha

set *** TY2IDC monitor rekey

set *** TY2IDC id 0x9 bind interface tunnel.7

验证：