SSG或者netscreen之间连接××× site to site,有固定IP固然非常好,安全性也高,但是如果没有呢,用动态域名也可以实现。
    5.0版以后,开始支持动态域名自动更新IP的客户端,可以不用安装在Windows上的客户端,直接开机或者在IP发生变化的时候就去更新IP解析。
    本人的版本是5.4,版本不同位置可以不同。在web图形界面里打开Network > DNS > DDNS,Config DDNS Client和Enable DDNS Client都选了,然后点new做一个客户端,ID随便,估计不要太多,1就行了,Server Type选dyndns,这个网站 www.dyndns.org做动态域名解析免费,免费提供5个域名解析,在多就收费了,而且更新速度很快。当你选了dyndsn以后,下面很一些地方都填上了,就不必写了,Clear text这个必须选上,不然不行。用户名和密码就是在那个网站注册的,Agent自动填的,不要更改。Bind to Interface一定要选外网网卡,Host Name就是在那个网站注册的完整的域名,可不是只有一个host名,后面要带dyndns.org才行。然后去找log,看它更新成功。
    配置***的时候,打开×××s > AutoKey Advanced > Gateway > Edit,Static IP Address里面选对方的域名就好,其它的和固定IP的配置方法没区别。
    不要选Dynamic IP Address哦,那个是其它的用法,别以为自己用了动态IP就选动态IP。机器会自动用dns解析出对方的IP,然后比对IP是否正确,其实把检查的对象从IP地址变到dns上,也就是信任dns服务器,当然这比直接信任IP地址安全级别是低了很多,比较dns也可以绑架的,不过难度不是一般的大。
 
下面是配置
set dns ddns
set dns ddns id 1 server-type dyndns clear-text
set dns ddns id 1 username xxx password nzBZr6egNSvosDs00IC80ab4InnFcI9cSA==
set dns ddns id 1 src-interface untrust host-name xxxxx.dyndns.org
set dns ddns enable
这是动态域名部分
set ike gateway "5gt_GW" address xxxxx.dyndns.org Main outgoing-interface "untrust" preshare "H9Gn/vZyNTooeHsoQzCkOOxraznuBhd0sQ==" sec-level standard
set *** "5xt_***" gateway "5gt_GW" no-replay tunnel idletime 0 sec-level standard
set *** "5xt_***" monitor
set *** "5xt_***" id 17 bind interface tunnel.1
这是***部分
set route 10.54.201.224/27 interface tunnel.1
这是路由部分,当然还需要策略部分,就不写了,很简单的。