公司有三个办公室地点,一个在香港,两个在上海,一个在张杨路,一个在张江。最近张杨路和香港直接需要建立×××链接,以实现局域网链接和访问,解决香港远程控制访问,Netmeeting,以及远程打印机打印的工作。我自己做了个尝试,但没有成功,最后在高手的指导下终于成功了,呵呵!下面总结一下步骤,也作为备忘录,以备后查。
首先说明一下,Juniper的版本: Version: 5.0.0r8.1 (Firewall+×××)   ScreenOS WebUI   Copyright © 2004 Juniper Networks, Inc.  
 在建立之前,我们首先看下,Juniper的帮助文件是怎么说的,

Setting up the ××× tunnel encryption and authentication is actually a two-phase process.

  • Phase 1 essentially covers how the gateways will securely negotiate and handle the building of the tunnel. The P1 (Phase 1) Proposal sets the terms of the negotiation.(要建立一个GateWay,和对方协商建立通道)

  • Phase 2 sets up how the data passing through the tunnel will be encrypted at one end and decrypted at the other. The encryption method you choose needs to account for both phases. This process is carried out on both sides of the tunnel. The P2 (Phase 2) Proposal sets the terms of the negotiation. (建立数据传输通道)

假设AB两个地方,当然这两个地方都必须使用5GT设备,而且有固定IP地址,当然是公网IP地址,下面我们来具体谈一下如何建立一个×××通道,假设A地的网段是,192.168.200.0, B地的网段是 192.168.1.0;首先建立一个GateWay,在A点的5GT管理界面中,点击×××s > AutoKey Advanced > Gateway > New 建立一个新的GateWay
 
 Gateway Name:网关的名字,随便填一下吧,
Security Level:选择标准就可以了,standard,如果选择custom的话,必须点击下面的Advanced按钮自定义设置。
Static IP Address:对方的公网IP地址
Preshared Key:预设密码,在B区建立Gateway时,这两个Key必须相同;
然后我们建立一个数据传输信道,在建立之前,先建立一个Interface并添加一个路由
点击Network > Interfaces (List),点击New(Tunnel IF),建立一个Tunnel Interface,比如tunnel.2,
选择 Unnumbered,并且选择Interface为 trust(trust-vr),其他不要动,就OK了。
然后添加一条路由,Network > Routing > Routing Entries,点击New(trust-vr),填入Network Address / Netmask,在Gateway 中的Interface选择刚才建立的Tunnel Interface,就ok了。
 
下面具体介绍建立传输信道,点击×××s > AutoKey IKE,点击New新建 :填入×××信道的名字,安全级别,和预定义的远程网关,如下图
 
 点击Advaced高级按钮,出现如下界面
 Security Level,可以自己定义安全级别,其次如下两项设置见图片,Bind to,Proxy-ID。
至此,大功基本告成,但还有一点必须要注意,还要添加Polices允许数据相互访问。而且在B点的5GT中做出相应的设置,就可以实现通讯了。至于如何添加Polices,怎么添加,我在这里就不多说了,主要是Untrust 到 Trust 和 Trust 到Untrust的设置。相对于A点,B点是Untrust区域。一般的从Trust到Untrust区域设置任何Services都允许。
写的比较急促,估计会有些问题,欢迎和我交流,谢谢!