客戶端形式的動態IP連接SRX的***站點

以前寫過SSG連接的例子

現在SSG快沒了，替代品SRX

原理上因爲SRX就是SSG的替代型號，很多地方原理是一樣的，所以就不在累述了。

這裏只說明SRX的配置，作爲固定IP方出現

在JUNOS Software Release [12.1R7.9]版本下通過測試。

    st0 {
        unit 2 {
            description "To Remote***";
            family inet;
            family inet6;
        }
    }  //建立虛擬接口

security {
    ike {
        proposal pre-g2-aes128-sha1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 28800;
        }  //起了個集合的名字pre-g2-aes128-sha1，使用共享祕鑰authentication-method pre-shared-keys，DH組用了group2，認證效驗是sha1，加密效驗是aes-128-cbc，生存時間是28800秒

        policy RemoteIKE {
            mode aggressive;
            proposals pre-g2-aes128-sha1;
            pre-shared-key ascii-text "$9$w9gZDiH.QF6GDO1EhKvgoaUHmz36p0I"; ## SECRET-DATA
        }  //建立和遠程連接的加密策略，使用aggressive模式，這是關鍵，一般兩個固定IP使用的是main模式，調用上面建立的pre-g2-aes128-sha1的ike集合，pre-shared-key就是祕鑰，當然是加過密的。

        gateway RemoteGW {
            ike-policy RemoteIKE;
            dynamic hostname shenxu.dyndns.org;
            external-interface ge-0/0/0;
            version v1-only;
        }  因爲使用的是接口模式，所以建立ike網關，調用已經建立的加密策略RemoteIKE，dynamic hostname shenxu.dyndns.org是用來確認對端的身份的，可以用hostname，也可以用email地址，只要兩端一致就可以，版本用的1，現在有2版了，還沒搞懂

    }  //這個大的組合是定義了ike協商的標準

    ipsec {
        proposal esp-3des-sha1 {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 3600;
        }   //定義ipsec採用的加密方式，協議使用esp，現在差不多站點都採用esp，認證效驗和加密效驗以及生存期的時間3600秒
        policy g2-esp-3des-sha1 {
            perfect-forward-secrecy {
                keys group2;
            }  //用的pfs的group2，這個地方各個廠商有可能不好配合，以前思科和微軟的就不行，現在不知道
            proposals esp-3des-sha1;
        } //  建立一個ipsec的加密策略

         *** Remote*** {
            bind-interface st0.2;
            ***-monitor {
                optimized;
            }
            ike {
                gateway RemoteGW;
                ipsec-policy g2-esp-3des-sha1;
            }
            establish-tunnels on-traffic;
        }
    } //建立***集合，既然是接口模式的***，必然要綁定接口bind-interface st0.2，要先建立一個虛擬接口st0.2，***-monitor 是監視***隧道死活的，如果死了接口就down了，這樣就可以使用路由的切換，有時候也不太靈。ike是調用前面建立好的GW和安全策略，establish-tunnels on-traffic一定要是on-traffic，因爲是一端發起的，是被動的，不能選immediately，兩個固定IP可以用。

還需要訪問的安全策略，沒啥難度，在web界面就可以很容易的完成，這裏不再累述。

    zones {

        security-zone Remote*** {
            address-book {
                address relay 172.26.136.224/28;
            }
            interfaces {
                st0.2;
            }
        }  //建立安全區，一個是定義這個zone的地址，另外就是綁定接口st0.2，其實我覺得這個順序應該寫在訪問的安全策略前面，因爲必須先有zone才能寫訪問的安全策略。這裏我覺得比ssg要好，ssg綁定接口Unnumbered必須要連接到一個物理接口，如果做的不對很容易造成信息泄露，比如路由協議，我在一次偶然的抓包才發現的。SRX在做Unumbered的時候沒有綁定到物理接口，只有到zone，這樣安全性提高了，不過這樣似乎就不是Unumbered了。