基於路由的***
1. 概念
a. 不需要Policy去觸發***隧道的建立
b. 需要去建立一個Tunnel接口,專門來傳輸***的數據流量
* 一個Tunnel接口可以綁定給多個***實例
c. 到達私網的***流量需要使用該Tunnel接口(到達對方私網網段的出接口爲Tunnel接口)
d. 基於路由的***的優勢:
1.一直有效
2. 不會受到Policy的影響
3. 可以使用動態路由協議(基於策略的***將不能使用動態路由協議)
* 到達對方網段的路由條目的出接口必須是Tunnel接口
2. Tunnel接口
a. 綁定Zone
b. 配置IP地址(借用地址)
c. 指定Tunnel接口的Number
特性:
a. 可以給Tunnel接口配置私網地址
b. Tunnel接口的地址不能夠和物理接口衝突(在同一個VR下)
c. 可以配置MIP或VIP
d. 兩臺設備作Route-Based *** Tunnel接口的地址網段必須屬於同一個網段
e. Tunnel接口地址可以借用其他的物理接口IP地址,但不能做MIP/VIP
3. ***的配置
a. 建立一個Tunnel接口
set interface tunn.1 zone untrust
set interface tunn.1 ip 172.16.1.1/24
或
set interface tunn.1 ip unnumbered interface eth3
b. 建立一個IKE的網關
set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub proposal pre-g2-3des-md5
c. 建立一個***
set *** y1-y2 gateway to-y2 sec-level standard
將***網關綁定到Tunnel接口
set *** y1-y2 bind interface tunn.1
d. 配置到達Peer的網段路由
set route 10.1.2.0/24 interface tunn.1
e. 建立Policy
如果Tunnel接口與源接口在同一個Zone,不需要Policy
如果Tunnel接口與源接口在不同的Zone,必須配置Policy
基於路由的錯誤點:
a. Tunnel接口和源接口在同一個Zone,不需要策略,
但IntraZone的Block要Off
b. 路由錯誤
c. 策略不允許