客户端形式的动态IP链接SRX的***站点

之前写过SSG链接的例子

如今SSG快没了，替代品SRX

原理上由于SRX就是SSG的替代型号，不少地方原理是同样的，因此就不在累述了。

这里只说明SRX的配置，做为固定IP方出现

在JUNOS Software Release [12.1R7.9]版本下经过测试。

    st0 {
        unit 2 {
            description "To Remote×××";
            family inet;
            family inet6;
        }
    }  //创建虚拟接口

security {
    ike {
        proposal pre-g2-aes128-sha1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 28800;
        }  //起了个集合的名字pre-g2-aes128-sha1，使用共享秘钥authentication-method pre-shared-keys，DH组用了group2，认证效验是sha1，加密效验是aes-128-cbc，生存时间是28800秒

        policy RemoteIKE {
            mode aggressive;
            proposals pre-g2-aes128-sha1;
            pre-shared-key ascii-text "$9$w9gZDiH.QF6GDO1EhKvgoaUHmz36p0I"; ## SECRET-DATA
        }  //创建和远程链接的加密策略，使用aggressive模式，这是关键，通常两个固定IP使用的是main模式，调用上面创建的pre-g2-aes128-sha1的ike集合，pre-shared-key就是秘钥，固然是加过密的。

        gateway RemoteGW {
            ike-policy RemoteIKE;
            dynamic hostname shenxu.dyndns.org;
            external-interface ge-0/0/0;
            version v1-only;
        }  由于使用的是接口模式，因此创建ike网关，调用已经创建的加密策略RemoteIKE，dynamic hostname shenxu.dyndns.org是用来确认对端的身份的，能够用hostname，也能够用email地址，只要两端一致就能够，版本用的1，如今有2版了，还没搞懂

    }  //这个大的组合是定义了ike协商的标准

    ipsec {
        proposal esp-3des-sha1 {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 3600;
        }   //定义ipsec采用的加密方式，协议使用esp，如今差很少站点都采用esp，认证效验和加密效验以及生存期的时间3600秒
        policy g2-esp-3des-sha1 {
            perfect-forward-secrecy {
                keys group2;
            }  //用的pfs的group2，这个地方各个厂商有可能很差配合，之前思科和微软的就不行，如今不知道
            proposals esp-3des-sha1;
        } //  创建一个ipsec的加密策略

         *** Remote××× {
            bind-interface st0.2;
            ***-monitor {
                optimized;
            }
            ike {
                gateway RemoteGW;
                ipsec-policy g2-esp-3des-sha1;
            }
            establish-tunnels on-traffic;
        }
    } //创建***集合，既然是接口模式的***，必然要绑定接口bind-interface st0.2，要先创建一个虚拟接口st0.2，***-monitor 是监视***隧道死活的，若是死了接口就down了，这样就能够使用路由的切换，有时候也不太灵。ike是调用前面创建好的GW和安全策略，establish-tunnels on-traffic必定要是on-traffic，由于是一端发起的，是被动的，不能选immediately，两个固定IP能够用。

还须要访问的安全策略，没啥难度，在web界面就能够很容易的完成，这里再也不累述。

    zones {

        security-zone Remote××× {
            address-book {
                address relay 172.26.136.224/28;
            }
            interfaces {
                st0.2;
            }
        }  //创建安全区，一个是定义这个zone的地址，另外就是绑定接口st0.2，其实我以为这个顺序应该写在访问的安全策略前面，由于必须先有zone才能写访问的安全策略。这里我以为比ssg要好，ssg绑定接口Unnumbered必需要链接到一个物理接口，若是作的不对很容易形成信息泄露，好比路由协议，我在一次偶然的抓包才发现的。SRX在作Unumbered的时候没有绑定到物理接口，只有到zone，这样安全性提升了，不过这样彷佛就不是Unumbered了。