Juniper 防火墙安装手册 - highvalue.com.cnhighvalue.com.cn/upload/downloads/2016/11/1477997698.pdf · Juniper防火墙安装手册神州数码（深圳）有限公司 ... 将接口设置为NAT

Juniper防火墙安装手册

神州数码（深圳）有限公司

二零零五年十二月

Juniper 防火墙安装手册

项目编号 Juniper200601 文档名称 Juniper防火墙安装手册

编写人完成日期 2006.01.18

文档修订记录：

日期修订版本修订内容修订人

2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉

2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨

2006.01.16 V1.0 NAT模式和路由模式安装张坤

目录

一、透明模式............................................................................................................................... 5

1．1 、网络结构图 ................................................................................................................. 5

1．２、配置文件 .................................................................................................................... 5

二、NAT模式 ............................................................................................................................ 8

2．1 、网络结构图 ................................................................................................................. 8

2．２、安装步骤 .................................................................................................................... 8

2.2.1 初始化配置.....................................................................................................................8 2.2.2 管理功能设置..............................................................................................................11 2.2.3 安全区 ............................................................................................................................12 2.2.4 端口设置 .......................................................................................................................13 2.2.5 设置路由 .......................................................................................................................14 2.2.6 NAT设置.....................................................................................................................16 2.2.7 端口服务 .....................................................................................................................19 2.2.8 定义策略 .......................................................................................................................21

三、路由模式............................................................................................................................. 24

3．1 、网络结构图 ............................................................................................................... 24

3．２、安装步骤 .................................................................................................................. 24

3.2.1 初始化配置...................................................................................................................24 3.2.2 管理功能设置..............................................................................................................27 3.2.3 安全区 ............................................................................................................................28 3.2.4 端口设置 .......................................................................................................................29 3.2.5 Route 模式设置 .......................................................................................................30 3.2.6 设置路由 .......................................................................................................................31 3.2.7 定义策略 .......................................................................................................................32

四、动态路由............................................................................................................................. 35

五、VPN......................................................................................................................................... 35

5.1 CLIENT TO SITE................................................................................................................ 35

5.2 建立 L2TP ........................................................................................................................... 44

5.2.1网络结构图..........................................................................................................................44 5.2.2配置防火墙..........................................................................................................................45 5.5.3 测试 ....................................................................................................................................54

六、HA............................................................................................................................................. 56

６．１、网络拓扑结构图 ................................................................................................. 56

６．２、设置步骤.................................................................................................................. 56

６．３、命令行配置方式 ................................................................................................. 57

６．４、图形界面下的配置步骤 ................................................................................ 61

七、故障排除 ......................................................................................................................... 65

7.1 常用 TROUBLESHOOTING命令 ................................................................................. 65

7.1.1 get system.............................................................................................................................65 7.1.2 get route ...............................................................................................................................65 7.1.3 get arp ..................................................................................................................................66 7.1.4 get sess .................................................................................................................................66 7.1.5 debug....................................................................................................................................67 7.1.6 set ffilter ...............................................................................................................................68 7.1.7 snoop....................................................................................................................................69

7.2 TROUBLESHOOTING ROUTE........................................................................................... 70

7.2.1 Example 1- no route.............................................................................................................70 7.2.2 Example 2- no policy............................................................................................................70

7.3 TROUBLESHOOTING NAT.............................................................................................. 71

7.3.1 Interface NAT-src.................................................................................................................71 7.3.2 policy NAT-src .....................................................................................................................71 7.3.3 policy NAT-dst .....................................................................................................................72 7.3.4 VIP .......................................................................................................................................74 7.3.5 MIP ......................................................................................................................................74

7.4 TROUBLESHOOTING VPN .............................................................................................. 75

7.4.1 常用调试命令.....................................................................................................................75 7.4.2 常见错误（以下日志是从 VPN接收端收集） ...............................................................76

一、透明模式

1．1 、网络结构图

接口为透明模式时，NetScreen设备过滤通过防火墙的数据包，而不会修改IP数据包包

头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而NetScreen

设备的作用更像是第2层交换机或桥接器。在透明模式下，接口的IP地址被设置为 0.0.0.0，

使得NetScreen设备对于用户来说是可视或“透明”的。

透明模式是一种保护 Web 服务器，或者主要从不可信源接收信息流的其它任意类型服

务器的方便手段。使用透明模式有以下优点:

· 不需要重新配置路由器或受保护服务器的IP设置

· 不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址

1．２、配置文件

命令行步骤（以上图为例）： 1、创建二层 zone（本例中用的是默认的二层 zone，因此不须创建。如须创建，命令行格式如下： set zone name <name> L2 <vlan_tag>

例如: ns208-> set zone name L2-Demo L2 1

2、指派端口至二层 zone 格式如下： set interface <int-name> zone <zone-name>

本例中命令行如下：

ns208-> set interface ethernet1 zone v1-trust ns208-> set interface ethernet2 zone v1-DMZ ns208-> set interface ethernet3 zone v1-untrust

3、设置 VLAN1端口 ns208-> set interface vlan1 ip 1.1.1.210/24

ns208-> set interface vlan1 manage web ns208-> set interface vlan1 manage telnet ns208-> set interface vlan1 manage ping

4、为二层 zone配置管理服务（可选）格式如下： set zone <name> manage [<service>] 以本图v1-trust zone为例，配置服务如下： ns208-> set zone v1-trust manage web ns208-> set zone v1-trust manage telnet ns208-> set zone v1-trust manage ping

5、配置策略（略） WebUI方式

1、创建二层 zone

2、指派端口至二层 zone

3、置 VLAN1端口

4、为二层 zone配置管理服务（可选）

5、配置策略（略）

二、NAT模式


NAT拓扑图

用户需求：

1、内网用户能通过防火墙访问 Internet，防火墙做 NAT。

2、 Internet用户能访问内部的Mail Server的相关应用。

3、 Internet用户能通过不同的端口访问内部的 WebServer Group。

2．２、安装步骤

2.2.1 初始化配置

连接防火墙 Console方式

基于 Console终端配置 ISG2000 的准备安装Windows操作系统的 PC一台（装有超级终端） ISG2000设备自带的 Console电缆一条

使用超级终端建立一个连接，通过 Console 电缆一端连接 ISG2000，一端连接 COM，COM的参数设置如图：

使用 Console 端口做初始化配置。Netscreen 防火墙的初始账号和密码： login: netscreen password:netscreen nsisg2000-> set hostname NSISG2000-1 ----------设置主机名称 NSISG2000-1-> NSISG2000-1-> set int mgt ip 192.168.1.1/24 ---------设置管理端口的地址基于WEB方式

将管理 PC机的电脑网卡地址设置成和管理端口同一网段。并通过网线和 ISG-2000的

MGT端口连接，打开 IE浏览器，在浏览器地址栏键入 http://（ISG2000设备 IP地址），如上图。图形登陆打开 IE浏览器，并在 URL：输入防火墙的管理地址。

2.2.2 管理功能设置

设置管理口令选择 Configuration> Admin > Administrators，点击 NEW键，可以修改并添加防火墙管理员

2.2.3 安全区

设置安全区选择 Network > Zone >，点击 NEW键，可以添加新的安全区。

在 Zone name：Intranet -----------------安全区的名字 Virtual Router Name：trust-vr ----------------- 用默认的 VR Zone type：Layer 3 ---------------- zone类别为 3层命令行配置方式

set zone name Intranet

在配置防火墙的时候也可以不定义新的安全区，而使用防火墙预定义的安全区，默认

的 3层安全区有：Trust，UnTrust和 DMZ这 3个安全区。本文档使用的是防火墙预定义的安全区。

2.2.4 端口设置

设置端口选择 Network > Interfaces > Ethernet1/1 > Edit 在 Zone Name ：Trust ---------将 Ethernet 1/1 绑定到 trust zone。 IP Address / Netwask : 10.1.1.254 /24 ----------输入 IP 地址和掩码

选择 Network > Interfaces > Ethernet1/2> Edit 在 Zone Name ：UnTrust ---------将 Ethernet 1/1 绑定到 trust zone。 IP Address / Netwask : 220.1.1.1 /24 ----------输入 IP 地址和掩码

命令行配置方式

set inte e1/1 zone trust set inte e1/2 zone untrust set inte e1/1 ip 10.1.1.254/24 set inte e1/2 ip 220.220.1.1/24

2.2.5 设置路由

路由表选择 Network > Routing >Routing Entries

增加对外的默认路由

Network > Routing >Routing Entries > trust-vr > New，输入以下内容，单击 OK。 Network Address / Netmask : 0.0.0.0 / 0 Gateway : Interface: ethernet1/2 Gateway IP Address : 220.220.1.254 ------对外的网关地址

------route list

命令行配置方式 set route 0.0.0.0/0 interface ethernet1/2 gateway 220.220.1.254

2.2.6 NAT设置

基于接口的 NAT设置对绑定到 Trust Zone的接口的工作模式进行设置 Network > Interfaces > Ethernet1/1> Edit ------编辑绑定到 trust zone的接口

将接口设置为 NAT模式命令行配置方式

set interface e1/1 route 设置MIP地址翻译选择 Network > Interface > E1/2，点击 Edit -----编辑绑定到 Untrust zone的接口

点击 New 按钮，进入MIP的设置界面

输入需要映射的MIP地址 Mapped IP : 220.220.1.100 -------公网 Mail服务器地址 Network : 255.255.255.255 Host IP Address : 10.1.1.100 -------内网 Mail服务器网卡地址 Host Virtual Router Name :trust-vr 点击 OK添加命令行配置方式

set interface "ethernet1/2" mip 220.220.1.100 host 10.1.1.100 netmask 255.255.255.255 vrouter "trust-vr" 设置 VIP地址翻译

选择 Network > Interface > E1/2，点击 Edit -----编辑绑定到 Untrust zone的接口

输入 Virtual IP Address：220.220.1.80 -------公网 Web服务器地址

点击 Add 添加

点击 New VIP Servie 按键

输入需要映射的Web服务器的地址和对外发布服务端口

Virtual IP : 220.220.1.80 -------公网 Web服务器地址 Virtual Port : 80 -------对外发布的服务端口 Map to service : HTTP(80) -------内网 Web服务器的真实端口 Map to IP:10.1.1.10 -------内网 Web服务器的地址 Virtual IP : 220.220.1.80 -------公网 Web服务器地址 Virtual Port : 8080 -------对外发布的服务端口 Map to service : HTTP(80) -------内网 Web服务器的真实端口 Map to IP:10.1.1.20 -------内网 Web服务器的地址 Virtual IP : 220.220.1.80 -------公网 Web服务器地址 Virtual Port : 8800 -------对外发布的服务端口 Map to service : HTTP(80) -------内网 Web服务器的真实端口 Map to IP:10.1.1.30 -------内网 Web服务器的地址

点击 OK添加


set interface ethernet1/2 vip 220.220.1.80 80 "HTTP" 10.1.1.10 set interface ethernet1/2 vip 220.220.1.80 + 8080 "HTTP" 10.1.1.20 set interface ethernet1/2 vip 220.220.1.80 + 8800 "HTTP" 10.1.1.30

2.2.7 端口服务

针对WEB服务器对外访问提供的非标准服务端口，我们必须自定义服务端口。创建服务

选择 Objects > Services > Custom

选择 ,输入需创建的服务内容，单击 OK.

增加其他的服务：

命令行配置步骤

set service "TCP-8080" protocol tcp src-port 0-65535 dst-port 8080-8080 set service "TCP-8800" protocol tcp src-port 0-65535 dst-port 8800-8800

2.2.8 定义策略

设置从内到外的安全策略选择 Policy ，根据需求，为了让内部用户能够访问 Internte，我们需要定义从 Trust到 Untrust的Policy；而为了让外部用户能够访问内部的服务器，则需要定义从Untrust到Trust的Policy。方法如下：选择 Policy>From Trust>To Untrust>New

输入以下内容，单击 OK 创建 Policy Source Address : Address Book Entry : ------源地址 Destination Address: Address book Entry : ------目的地址 Service : ------服务对象 Action : ------策略的动作 Logging : ------打开或关闭流量日志


set policy from trust to untrust any any any permit 设置从内到外的安全策略选择 Policy>From Untrust >To Trust >New Source Address : Any ------源地址 Destination Address: MIP(220.220.1.100) ------目的地址 Service : Mail & POP3 ------服务对象 Action : Permit ------策略的动作

Logging : ------打开或关闭日志功能

选择 Policy>From Untrust >To Trust >New Source Address : Any ------源地址 Destination Address: VIP(220.220.1.80) ------目的地址 Service : HTTP ------服务对象 Action : Permit ------策略的动作


选择 Policy>From Untrust >To Trust >New Source Address : Any ------源地址 Destination Address: VIP(220.220.1.80) ------目的地址 Service : TCP-8080 ------服务对象

Action : Permit ------策略的动作


选择 Policy>From Untrust >To Trust >New Source Address : Any ------源地址 Destination Address: VIP(220.220.1.80) ------目的地址 Service : TCP-8800 ------服务对象 Action : Permit ------策略的动作


命令行配置方式 set policy id 1 from "Untrust" to "Trust" "Any" "MIP(220.220.1.100)" "MAIL" permit set policy id 1 set service "POP3" exit set policy id 2 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "HTTP" permit set policy id 3 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8080" permit set policy id 4 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8800" permit

三、路由模式


Route 模式拓扑图

用户需求：

1、 ISG－2000防火墙部署在内部网络中，内部不同网段通过防火墙相互访问

2、防火墙部署为 Route模式

3、不同网段间的数据包转发为路由转发，不做 NAT

4、防火墙 2个端口的地址分别是 10.1.10.254和 1.1.1.254，掩码一律都是 24位

5、允许从 10.1.110.0/24和 10.1.120.0/24网段对 1.1.10.0/24网段的所有访问.

6、允许 1.1.20.0/24网段对 10.1.110.0/24和 10.1.120.0/24网段的所有访问。

3．２、安装步骤

3.2.1 初始化配置

连接防火墙 Console方式

基于 Console终端配置 ISG2000 的准备安装Windows操作系统的 PC一台（装有超级终端） ISG2000设备自带的 Console电缆一条

使用超级终端建立一个连接，通过 Console 电缆一端连接 ISG2000，一端连接 COM，COM的参数设置如图：

使用 Console 端口做初始化配置。Netscreen 防火墙的初始账号和密码： login: netscreen password:netscreen nsisg2000-> set hostname NSISG2000-1 ----------设置主机名称 NSISG2000-1-> NSISG2000-1-> set int mgt ip 192.168.1.1/24 ---------设置管理端口的地址基于WEB方式

将管理 PC机的电脑网卡地址设置成和管理端口同一网段。并通过网线和 ISG-2000的

MGT端口连接，打开 IE浏览器，在浏览器地址栏键入 http://（ISG2000设备 IP地址），如上图。图形登陆打开 IE浏览器，并在 URL：输入防火墙的管理地址。

3.2.2 管理功能设置

设置管理口令选择 Configuration> Admin > Administrators，点击 NEW键，可以修改并添加防火墙管理员

3.2.3 安全区

设置安全区选择 Network > Zone >，点击 NEW键，可以添加新的安全区。

在 Zone name：Intranet -----------------安全区的名字 Virtual Router Name：trust-vr ----------------- 用默认的 VR Zone type：Layer 3 ---------------- zone类别为 3层命令行配置方式

set zone name Intranet

在配置防火墙的时候也可以不定义新的安全区，而使用防火墙预定义的安全区，默认

的 3层安全区有：Trust，UnTrust和 DMZ这 3个安全区。本文档使用的是防火墙预定义的安全区。

3.2.4 端口设置

设置端口选择 Network > Interfaces > Ethernet1/1 > Edit 在 Zone Name ：Trust ---------将 Ethernet 1/1 绑定到 trust zone。 IP Address / Netwask : 10.1.10.254 /24 ----------输入 IP 地址和掩码选择 Network > Interfaces > Ethernet1/2> Edit 在 Zone Name ：UnTrust ---------将 Ethernet 1/1 绑定到 trust zone。 IP Address / Netwask : 1.1.1.254/24 ----------输入 IP 地址和掩码

命令行配置方式 set inte e1/1 zone trust set inte e1/2 zone untrust set inte e1/1 ip 10.1.10.254/24 set inte e1/2 ip 1.1.1.254/24 save

3.2.5 Route 模式设置

基于接口的 Route模式设置对每个接口的工作模式进行设置 Network > Interfaces > Ethernet1/1> Edit ------编辑绑定到 trust zone的接口

将 E1/1接口设置为 Route模式为了让防火墙工作在路由模式下，需要将所有接口都设置为 route。默认配置下，仅有绑定到 Trust Zone的接口是 NAT模式命令行配置方式

set interface e1/1 route save

3.2.6 设置路由

路由表选择

Network > Routing >Routing Entries

增加不同网段间的默认路由 Network > Routing >Routing Entries > trust-vr > New，输入以下内容，单击 OK。 Network Address / Netmask : 10.1.110.0 / 0 Gateway : Interface: ethernet1/2 Gateway IP Address : 10.1.10.2 ------对外的网关地址

------route list

命令行配置方式 set route 10.1.110.0/24 interface ethernet1/1 gateway 10.1.10.2 set route 10.1.120.0/24 interface ethernet1/1 gateway 10.1.10.3 set route 1.1.10.0/24 interface ethernet1/2 gateway 1.1.1.2 set route 1.1.20.0/24 interface ethernet1/2 gateway 1.1.1.3 save

3.2.7 定义策略

设置从内到外的安全策略选择Policy ，根据需求，我们要通过定制安全Policy实现允许从 10.1.110.0/24和 10.1.120.0/24网段对1.1.10.0/24网段的所有访问；以及允许1.1.20.0/24网段对10.1.110.0/24和10.1.120.0/24网段的所有访问。方法如下：选择 Policy>From Trust>To Untrust>New

点击 New按键创建新的安全策略

输入以下内容，单击 OK 创建 Policy Source Address : Address Book Entry : ------源地址 Destination Address: Address book Entry : ------目的地址 Service : ------服务对象 Action : ------策略的动作 Logging : ------打开或关闭流量日志

设置从 Untrust到 Trust的安全策略选择 Policy>From Untrust >To Trust >New 输入以下内容，单击 OK 创建 Policy Source Address : Address Book Entry : ------源地址 Destination Address: Address book Entry : ------目的地址 Service : ------服务对象 Action : ------策略的动作

Logging : ------打开或关闭流量日志

------------Policy list

命令行配置方式 set address "Trust" "10.1.110.0/24" 10.1.110.0 255.255.255.0

set address "Trust" "10.1.120.0/24" 10.1.120.0 255.255.255.0 set address "Untrust" "1.1.10.0/24" 1.1.10.0 255.255.255.0 set address "Untrust" "1.1.20.0/24" 1.1.20.0 255.255.255.0 set policy id 1 from "Trust" to "Untrust" "10.1.110.0/24" "1.1.10.0/24" "ANY" permit set policy id 2 from "Trust" to "Untrust" "10.1.120.0/24" "1.1.10.0/24" "ANY" permit set policy id 3 from "Untrust" to "Trust" "1.1.20.0/24" "10.1.110.0/24" "ANY" permit set policy id 4 from "Untrust" to "Trust" "1.1.20.0/24" "10.1.120.0/24" "ANY" permit save

四、动态路由

五、VPN

5.1 Client to site

如果一台 PC在公司外面通过拨号上网获得公网 IP地址，通过 VPN client的软件来和公司内部建立 VPN连接的，必须要有 client 软件来配合，假设 netscreen后的公司内部地址为192.168.1.0网段。

1、建立用户：在树状目录中，Objects ->Users->Local ，单击右边 New按钮，如图：

输入 User Name ，Status 选择为 Enable ，将 IKE User的复选框选中，并选择 Simple

Identity ，在 IKE Identity 中输入字符串 [email protected] 。单击 OK后退出。 2、建立远程的网关：在树状目录中，VPN -> AutoKey Advanced ->Gateway中，单击

右边 New按钮，如图

输入相应的 Gateway Name为 ateam_vpn ，Security Level选择为 Custom ，Remote Gateway Type 中选择 Dialup User ，并选择用户名为刚才我们所建立的用户名。在Preshared Key中输入自己定义的密钥 netscreen，然后单击 Advanced按钮，如图

Phase 1 Proposal选择为 pre-g2-des-md5 ，Mode (Initiator)选择为 Aggressive 。单击Returen返回上一页面，并单击 OK退出。

3、VPN->Autokey IKE中，单击右边 New按钮，如图

在 VPN Name 中输入相应的名称，Remote Gateway 选择我们刚才建立的网关

ateam_vpn ，单击 Advanced按钮，如图：

Phase 2 Proposal选择 g2-esp-des-md5 ，并单击 Return返回前一页面，并单击 OK退出。

4、单击 Policies ，在 From 中选择 Untrust ，在 To 中选择 Trust ，单击 New按钮，如图：

在 Source Address 中选择 Address Book ，并从下拉菜单中选择 Dial-Up VPN ，Destination Address 中输入本公司内部地址段 192.168.1.0 ，子网掩码为255.255.255.0 。Action选择为 Tunnel ，Tunnel VPN选择我们建立的 tr ，将 Position at Top的复选框选中。单击 OK按钮退出。

5、PC端的设置：将客户端 VPN软件安装后，在任务栏右下角会有一个蓝色的图标，双击打开 Security Policy Editor ，如图：

在MyConection上右键单击，依次 Add->Connection ，新建立一个 VPN连接，名称为 test 。

6、单击名为 test的 VPN连接，如图：

在 Connection Security中选择 Securite ，在 Remote Party Identity and Addressing中，ID Type 选择为 IP Subnet ，Subnet 中输入公司内部网络号 192.168.1.0 ，Mask 中输入

255.255.255.0 。将 Connet using Secure Gateway Tunnel选中，并在 ID Type 中选择 IP Address ，并输入 Netscreen 的公网 IP 61.152.219.14 。

7、单击 Security Policy ，按照下图进行设置

8、单击 My Identity ，按照下图进行设置：

在 Select Certificate 中选择 None ， ID Type 选择 E-mail Address ，并输入[email protected] 。然后单击 Pre-Shared Key ，如图

并输入在 Netscreen中 Gateway中事先定义的密钥 netscreen ，然后单击 OK确认。

9、单击 Security Policy 前面的+ ，依次展开 Security Policy->Authentication (Phase 1)->Proposal1 ，进行如图的配置。

10、展开 Key Exchange(Phase2)->Proposal1 ，进行如图的设置：

11、单击 File->Save或者 Save的图标，保存设置。 12、在屏幕右下方的 Netscreen的小图标上右键单击，选择 Reload Security Policy ，

使刚才设置的 VPN策略生效。

这时，如果你 ping公司的内部 IP地址的话，在 Netscreen的小图标上会有黄色的小钥匙，并有绿色的小点在闪动，证明已经和内部 IP建立起正常的 VPN通信了。

如果你要把当前 VPN的配制导出在另外的 PC上使用，可以单击 File->Export Security Policy ，

提示你是否要保护该策略不被修改，如果选择 Yes 的话，则生成的策略文件在重新导入到PC的时候不能被修改；如果选择 No的话，是可以继续修改的。这里建议选择 Yes ，以确保不被修改。

5.2 建立 L2TP

5.2.1网络结构图

建立参数：

地址池范围：192.168.2.2----192.168.2.10 DNS Servers: 192.168.1.102 192.168.1.103 Primary WINS Server : 192.168.1.100

Secondary WINS Server: 192.168.1.101 L2TP用户认证：本地

用户名：liang 密码： liang

5.2.2配置防火墙

命令行步骤： 1、建立 l2tp用户 set user "liang" enable set user "liang" type l2tp set user "liang" password "liang" 2、建立 L2TP地址池 set ippool "l2tp-pool" 192.168.2.2 192.168.2.10 注：和内部端口地址不在同一网段。 3、建立 DNS、Wins地址

a、所有的用户都使用相同的 DNS和WINS地址时， set l2tp default dns1 192.168.1.102 set l2tp default dns2 192.168.1.103 set l2tp default wins1 192.168.1.100 set l2tp default wins2 192.168.1.101

b、基于不同用户使用不同的 DNS和WINS地址时 set l2tp "liang-l2tp" remote-setting dns1 172.1.1.1 set l2tp "liang-l2tp" remote-setting dns2 172.1.1.2 set l2tp "liang-l2tp" remote-setting wins1 172.1.1.3 set l2tp "liang-l2tp" remote-setting wins1 172.1.1.4

4、建立 L2TP Tunnel策略 set l2tp "liang-l2tp" outgoing-interface ethernet4 keepalive 60 set l2tp "liang-l2tp" remote-setting ippool "l2tp-pool"

也可根据用户身份建立不同的 Tunnel地址策略： set l2tp "liang-l2tp" auth server "Local" user "liang"

set l2tp “test-l2tp” anth server “local” user “test” 5、建立防火墙安全策略 set policy id 6 from "ouside" to "inside" "Any" "192.168.1.0/24" "ANY" Tunnel

l2tp "liang-l2tp" log 注：注意区域的定义。图形界面的配置步骤 1、建立 l2tp用户

2、建立 ippool

3、建立 L2TP

4、建立 L2TP Tunnel

5、建立策略

二、Windows 2000设置

选择设置

选择设置

5.5.3 测试

选择连接

在右下脚将显示

接受到新的地址：

验证 l2tp

六、HA

６．１、网络拓扑结构图

６．２、设置步骤

1、将两台防火墙的第四个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增加的防火墙为备份的防火墙，备份的防火墙只连接第四个端口，其他的端口将在防火墙

配置完毕后才连接上 2、使用终端线缆连接到防火墙的 Console口，超级终端参数设置为 9600-8-无-1-无。

６．３、命令行配置方式

蓝色字体为在超级终端上输入的命令６．3.1、主防火墙配置，（移动公司在线使用的 Netscreen-204防火墙） ns204>unset interface e4 ip 将端口 4的 IP地址删除， ns204>set interface e4 zone ha 将端口 4和 HA区域绑定一起配置 NSRP ns204-> ns204-> ns204-> get nsrp 查看 NSRP配置信息 nsrp version: 2.0 cluster info: cluster id not set: nsrp is inactive 默认的情况下 NSRP没有击活 VSD group info: init hold time: 5 heartbeat lost threshold: 3 heartbeat interval: 1000(ms) group priority preempt holddown inelig master PB other members total number of vsd groups: 0 Total iteration=3808,time=2721060,max=880,min=286,average=714 RTO mirror info: run time object sync: disabled ping session sync: enabled

coldstart sync done nsrp link info: no nsrp link has been defined yet NSRP encryption: disabled --- more --- NSRP authentication: disabled NSRP monitor interface: none number of gratuitous arps: 4 (default) track ip: disabled ns204-> set nsrp cluster id 1 设置 cluster组号 ns204(M)-> set nsrp vsd id 0 设置 VSD的组号,这条命令可以不用输入，因为 Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是 0。 ns204(M)-> set nsrp vsd-group id 0 priority 50 设置 NSRP主设备的优先权值，priority值越小，优先权越高。 ns204(M)-> set nsrp rto syn 设置配置同步 ns204(M)-> set nsrp monitor interface ethernet3 设置防火墙监控的端口，假设端口 3出现故

障或所连接的交换机出现故障，防火墙的工作状态将切换到备份防火墙上。

ns204(M)-> set nsrp monitor interface ethernet1 设置防火墙监控的端口，假设端口 1出现故


注：如没有监控端口 2，端口 2出现故障或连接网络出现故障，将不会激活防火墙工作状态切换 ns204(M)-> get nsrp nsrp version: 2.0 cluster info: cluster id: 1, no name local unit id: 5609296 active units discovered: index: 0, unit id: 5609296, total number of units: 1 VSD group info: init hold time: 5 heartbeat lost threshold: 3 heartbeat interval: 1000(ms) group priority preempt holddown inelig master PB other members 0 50 no 3 no myself none （备份防火墙还没有配置，因此主设备上没有监测到 Backup防火墙的状态）

total number of vsd groups: 2 Total iteration=4682,time=4184162,max=18848,min=286,average=893 RTO mirror info:

run time object sync: disabled ping session sync: enabled nsrp link info: no nsrp link has been defined yet NSRP encryption: disabled NSRP authentication: disabled NSRP monitor interface: ethernet1 ethernet3 number of gratuitous arps: 4 (default) track ip: disabled ns204(M)-> 设置 NSRP心跳信息 ns204(M)-> ns204(M)-> set nsrp vsd-group hb-interval 200 设置心跳信息每隔 200秒将发出问候信息 ns204(M)-> set nsrp vsd-group hb-threshold 3 设置心跳信息总共发出 3次问候信息 ns204(M)-> save ６．3．2、备份防火墙的配置：（新增加的防火墙） ns204>unset all 将新增防火墙的原有配置清除，恢复出厂状态 Erase all system config, are you sure y/[n] ? y ns204> reset Configuration modified, save? [y]/n n System reset, are you sure? y/[n] y In reset ... ................................................................. ................................................................. ................................................................. ns204>set interface e4 zone ha 将端口 4和 HA区域绑定一起配置 NSRP ns204-> set nsrp cluster id 1 设置 cluster组号 ns204(B)-> set nsrp vsd id 0 设置 VSD的组号,这条命令可以不用输入，因为 Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是 0。 ns204(B)-> set nsrp vsd-group id 0 priority 100 设置 NSRP主设备的优先权值，priority值越小，优先权越高。 ns204(B)-> set nsrp rto syn 设置配置同步 ns204(B)-> set nsrp monitor interface ethernet3 设置防火墙监控的端口，假设端口 3出现故


ns204(B)-> set nsrp monitor interface ethernet1 设置防火墙监控的端口，假设端口 1出现故


注：如没有监控端口 2，端口 2出现故障或连接网络出现故障，将不会激活防火墙工作状态切换 ns204(B)-> get nsrp nsrp version: 2.0 cluster info: cluster id: 1, no name local unit id: 5609745 active units discovered: index: 0, unit id: 5609745, total number of units: 1 VSD group info: init hold time: 5 heartbeat lost threshold: 3 heartbeat interval: 1000(ms) group priority preempt holddown inelig master PB other members 0 50 no 3 no 5609296(主设备) myself

total number of vsd groups: 2 Total iteration=4682,time=4184162,max=18848,min=286,average=893 RTO mirror info: run time object sync: disabled ping session sync: enabled nsrp link info: no nsrp link has been defined yet NSRP encryption: disabled NSRP authentication: disabled NSRP monitor interface: ethernet1 ethernet3 number of gratuitous arps: 4 (default) track ip: disabled ns204(B)-> 设置 NSRP心跳信息 ns204(B)-> ns204(B)-> set nsrp vsd-group hb-interval 200 设置心跳信息每隔 200秒将发出问候信息 ns204(B)-> set nsrp vsd-group hb-threshold 3 设置心跳信息总共发出 3次问候信息 ns204(B)-> save ６．3．3、同步配置该步骤将主防火墙的配置和备份防火墙的配置进行同步，（强调一点，设置前请先将主防火

墙的配置备份一次，具体步骤请参考《维护文档》）。使用超级终端登陆备份防火墙的 console端口。使用一下命令:

ns204(B)-> exec nsrp sync global-config check-sum （将两

台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的

配置导入备份主机中）

ns204(B)-> exec nsrp sync global-config save （如有不同，

备份的设备将会在重启后把主设备上的配置导入备份主机中）

以下信息只有在超级终端上才有显示:

ns204(B)-> configuration in sync (local checksum

789579268 == remote checksum 789579268)

sync all files from peer done

Received all run-time-object from peer.

configuration in sync (local checksum 789579268 == remote checksum 789579268) load peer system config to save Save global configuration successfully. Save local configuration successfully. done. Please reset your box to let cluster configuration take effect!

重启备份防火墙，在重启的过程中，备份的防火墙将会从主设备上同步配置 ns204(B)-> reset

Netscreen 防火墙的冗余配置结束。

６．４、图形界面下的配置步骤

６．4.1、登陆防火墙的图形管理界面选择 network>Interface> Ethernet4 > edit

将 Ethernet4端口的 Zone name 选择 HA ,将 Ethernet4端口的 IP地址全部删除

NSRP设置选择 Network > Redundancy >Settings 在 Cluster ID中输入 1，选择 NSRP RTO Mirror Synchronization

选择Monitor Port > Edit > 选择 Ethernet 1和 ethernet3

VSD设置选择 Network > Redundancy > VSD Group > New

在 Group ID中输入 0，在 Prority 中输入优先权值 100

同样的步骤配置备份的防火墙６．4．2、同步配置该步骤将主防火墙的配置和备份防火墙的配置进行同步，（强调一点，设置前请先将主防火

墙的配置备份一次，具体步骤请参考《维护文档》）。使用超级终端登陆备份防火墙的 console端口。使用一下命令:

ns204(B)-> exec nsrp sync global-config check-sum （将两

台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的

配置导入备份主机中）

ns204(B)-> exec nsrp sync global-config save （如有不同，

备份的设备将会在重启后把主设备上的配置导入备份主机中）

以下信息只有在超级终端上才有显示:

ns204(B)-> configuration in sync (local checksum

789579268 == remote checksum 789579268)

sync all files from peer done

Received all run-time-object from peer.

configuration in sync (local checksum 789579268 == remote checksum 789579268) load peer system config to save Save global configuration successfully. Save local configuration successfully. done. Please reset your box to let cluster configuration take effect!

重启备份防火墙，在重启的过程中，备份的防火墙将会从主设备上同步配置

ns204(B)-> reset

Netscreen 防火墙的冗余配置结束。

七、故障排除

7.1 常用 troubleshooting命令

7.1.1 get system

ns208-> get sys

Product Name: NS208

Serial Number: 0043042002000115, Control Number: 00000000

Hardware Version: 0110(0)-(11), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)

Software Version: 5.0.0r1.0, Type: Firewall+VPN

Base Mac: 0010.db1d.2140

File Name: ns200.5.0.0r1.0, Checksum: 634852f6

Date 12/19/2003 09:27:15, Daylight Saving Time enabled

The Network Time Protocol is Disabled

Up 406 hours 44 minutes 56 seconds Since 2 Dec 2003 10:42:19

Total Device Resets: 1, Last Device Reset at: 10/13/2003 08:32:38

System in NAT/route mode.

Use interface IP, Config Port: 80

User Name: netscreen

Interface ethernet1:

number 0, if_info 0, if_index 0, mode route

link down, phy-link down

vsys Root, zone Untrust, vr trust-vr

<output omitted>

7.1.2 get route

ns208-> get route

C - Connected, S - Static, A - Auto-Exported, I - Imported

iB - IBGP, eB - EBGP, R - RIP, O - OSPF, E1 - OSPF external type 1

E2 - OSPF external type 2

untrust-vr (0 entries)

======================

trust-vr (8 entries)

======================

ID IP-Prefix Interface Gateway P Pref Mtr Vsys

--------------------------------------------------------------------------

* 9 0.0.0.0/0 eth8 1.1.8.254 S 20 1 Root

* 8 1.1.70.0/24 eth7 1.1.7.254 S 20 1 Root

* 7 10.1.20.0/24 eth2 10.1.2.254 S 20 1 Root

* 2 10.1.1.0/24 eth1 0.0.0.0 C 0 0 Root

* 3 10.1.2.0/24 eth2 0.0.0.0 C 0 0 Root

<output omitted>

ns208-> get route ip 10.1.10.5

Destination Routes for 10.1.10.5

---------------------

trust-vr : => 10.1.10.0/24 (id=6) via 10.1.1.254 (vr: trust-vr)

Interface ethernet1 , metric 1

7.1.3 get arp

ns208-> get arp

IP Mac VR/Interface State Age Retry PakQue

3.4.5.6 abc3241244dc trust-vr/trust STS 0 0

1.1.7.250 00065bd2ff42 trust-vr/trust VLD 1151 0 0

ARP Entry Number 2/1024, No Free Entry Count: 0

Arp always-on-dest: disabled

7.1.4 get sess

1. Basic Session ns208-> get session

alloc 5/max 128000, alloc failed 0

id 78/s**,vsys 0,flag 00000040/80/20,policy -1,time 89

0(21):10.1.10.5/4647->200.5.5.5/80,6,0010db12cea1,vlan 0,tun 0,vsd 0

3(00):10.1.10.5/4647<-200.5.5.5/80,6,000000000000,vlan 0,tun 0,vsd 0

2. Session with NAT

ns208-> get session

alloc 2/max 128000, alloc failed 0

id 38/s**,vsys 0,flag 04000010/00/00,policy 1,time 1

0(01):10.1.10.5/7936->200.5.5.5/512,1,0010db12cea1,vlan 0,tun 0,vsd 0

10(20):1.1.8.15/7936<-200.5.5.5/512,1,0010db21c041,vlan 0,tun 0,vsd 0

7.1.5 debug

1. Debug 调试顺序 a) Debug flow basic 启动 debug调试 b) Clear db 清空 dbuf c) 开始发起测试数据，如 ping d) undebug all 取消 debug e) get db s 察看 debug调试输出

2. Debug 正常情况输出发起包处理如下： ns208-> get db stream

****** 89222.0: <Public/ethernet7> packet received [60]******

ipid = 133(0085), @d78c6070

packet passed sanity check.

ethernet7:1.1.70.250/6400->10.1.10.5/512,1(8/0)<Root>

chose interface ethernet7 as incoming nat if.

IP classification from non-shared src if : vsys Root

search route to (1.1.70.250->10.1.10.5) in vr trust-vr for 0/0

route 10.1.10.5->10.1.1.254, to ethernet1

routed (10.1.10.5, 0.0.0.0) from ethernet7 (ethernet7 in 0) to ethernet1

IP classification from non-shared dst if : vsys Root

policy search from zone 1002-> zone 1000

vsys Root: ethernet7->ethernet1, policy zone 1002->1000(1000), 1.1.70.250->

10.1.10.5

Permitted by policy 6

No src xlate choose interface ethernet1 as outgoing phy if

no loop on ifp ethernet1.

session application type 0, name None, timeout 60sec

service lookup identified service 0. Session (id:13538) created for first pak

200

route to 10.1.1.254

arp entry found for 10.1.1.254

nsp2 wing prepared, ready

flow got session.

flow session id 13538

post addr xlation: 1.1.70.250->10.1.10.5.

packet send out to 0010db3aed41 through ethernet1

回包处理如下： ****** 67133.0: <Trust/ethernet7> packet received [48]******

ipid = 60248(eb58), @d78da870


ethernet7:1.1.7.250/1932->207.46.104.20/1863,6<Root>

existing session found. sess token 2

flow got session.

flow session id 160

Got syn, 1.1.7.250(1932)->207.46.104.20(1863), nspflag 0x9801, 0x800

route to 1.1.1.1

wait for arp rsp for 1.1.1.1

7.1.6 set ffilter

1. ns208-> set ffilter ?

<return>

dst-ip flow filter dst ip

dst-port flow filter dst port

ip-proto flow filter ip proto

src-ip flow filter src ip

src-port flow filter src port

2. filter 或

ns208-> set ffilter src-ip 1.1.7.250 dst-ip 10.1.10.5 ip-prot 6

3. filter 与

ns208-> set ffilter src-ip 1.1.7.250 dst-ip 10.1.10.5 ip-prot 6

ns208-> set ffilter src-ip 10.1.1.1

ns208-> set ffilter dst-ip 1.1.70.1

4. 察看 filter

ns208-> get ffilter

Flow filter based on:

id:0 src ip 1.1.7.250 dst ip 10.1.10.5 ip proto 6

id:1 src ip 10.1.1.1

id:2 dst ip 1.1.70.1

id:3 dst port 80

5. 删除 filter

ns208-> unset ffilter 1

filter 1 removed

ns208-> get ffilter

Flow filter based on:

id:0 src ip 1.1.7.250 dst ip 10.1.10.5 ip proto 6

id:1 dst ip 1.1.70.1

id:2 dst port 80

7.1.7 snoop

1. 察看 snoop状态

ns208-> snoop info

Snoop: OFF

Filters Defined: 0, Active Filters 0

Detail: OFF, Detail Display length: 96

2. 启动 snoop

ns208-> snoop

Start Snoop, type ESC or 'snoop off' to stop, continue? [y]/n y

3. 关闭 snoop

ns208-> snoop off

Snoop off

4. snoop 同时使用 filter

ns208-> snoop filter ?

delete delete snoop filter

ethernet snoop specified ethernet

id snoop filter id

ip snoop ip packet

off turn off snoop filter

on turn on snoop filter

tcp snoop tcp packet

udp snoop udp packet

5. snoop 输出例子

ns208-> snoop

Start Snoop, type ESC or 'snoop off' to stop, continue? [y]/n y

ns208-> clear db

ns208-> ping 10.1.1.254

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds

!!!!!

Success Rate is 100 percent (5/5), round-trip time min/avg/max=100/100/100 ms

ns208-> get db stream

04470.0: 0(o):0010db19a4e0->0010db3aed41/0800

10.1.1.1->10.1.1.254/1, tlen=128

vhl=45, tos=00, id=1260, frag=0000, ttl=64

icmp:type=8, code=0

04470.0: 0(i):0010db3aed41->0010db19a4e0/0800

10.1.1.254->10.1.1.1/1, tlen=128

vhl=45, tos=00, id=1264, frag=0000, ttl=64

icmp:type=0, code=0

7.2 Troubleshooting route

7.2.1 Example 1- no route

ns208-> debug flow basic


****** 88622.0: <Public/ethernet7> packet received [60]******

ipid = 105(0069), @d78dc070


ethernet1:10.1.1.254/1198->1.1.70.250/512,1(8/0)<Root>




packet dropped: no route to (10.1.1.254->1.1.70.250) in vr trust-vr/0

packet dropped, no route

ns208-> get route ip 1.1.70.250

Destination Routes for 1.1.70.250

---------------------

trust-vr : => none

7.2.2 Example 2- no policy



****** 20988.0: <public/ethernet7> packet received [60]******

ipid = 19135(4abf), @d78c4870


ethernet7:1.1.70.250/17664->10.1.10.5/512,1(8/0)<Root>



search route to (1.1.70.250->10.1.10.5) in vr untrust-vr for 0/0





vsys Root: ethernet7->ethernet1, policy zone 1002->1000(1000), 1.1.70.250->

10.1.10.5

Searching global policy.

packet dropped, denied by policy

7.3 Troubleshooting NAT

7.3.1 Interface NAT-src

ns5xt-> debug flow basic

ns5xt-> get db stream

****** 531427.0: <Trust/trust> packet received [48]******

ipid = 6118(17e6), @024f2a50


trust:10.1.10.5/2000->1.1.7.254/23,6<Root>

chose interface trust as incoming nat if.



route 1.1.7.254->10.1.1.1, to untrust

routed (1.1.7.254, 0.0.0.0) from trust (trust in 0) to untrust



Get pseudo port for dst_ip 1.1.7.254

Alloc pseudo port indx 0, port 2610

choose interface untrust as outgoing phy if

no loop on ifp untrust.

session application type 10, name TELNET, timeout 1800sec

service lookup identified service 0. Session (id:1564) created for first pak

a00

route to 10.1.1.1



flow got session.



packet send out to 0010db19a4e0 through untrust.254


7.3.2 policy NAT-src



****** 04078.0: <private/ethernet1> packet received [48]******

ipid = 6900(1af4), @d7802070


ethernet1:10.1.10.5/2024->1.1.7.254/23,6<Root>







vsys Root: ethernet1->ethernet7, policy zone 1000->1001(1001),


dip id = 5, 10.1.10.5/2024->1.1.7.208/2024

choose interface ethernet7 as outgoing phy if


session application type 10, name None, timeout 120sec

service lookup identified service 0. existing vector list a00-6628fd0.

Session (id:25) created for first pak a00

route to 1.1.7.254

wait for arp rsp for 1.1.7.254

nsp2 wing prepared, not ready

flow got session

flow session id 25

route to 1.1.7.254



packet send out to 0010db3b7d51 through ethernet7


ipid = 1386(056a), @d78cb070


ethernet7:1.1.7.254/23->1.1.7.208/2024,6<Root>


flow got session.

flow session id 25

prepare route



route to 10.1.1.254




7.3.3 policy NAT-dst




ipid = 10727(29e7), @d78d6070


ethernet7:1.1.70.250/1252->201.1.1.5/80,6<Root>









1.1.70.250->201.1.1.5


DST xlate: 201.1.1.5(80) to 10.1.1.254(80)



routed (10.1.1.254) from ethernet7 (ethernet7 in 0) to ethernet1



session application type 6, name HTTP, timeout 300sec



route to 10.1.1.254



flow got session.




****** 49701.0: <private/ethernet1> packet received [44]******

ipid = 5990(1766), @d7803870


ethernet1:10.1.1.254/80->1.1.70.250/1252,6<Root>


flow got session.


prepare route



route to 1.1.7.254



packet send out to 0010db3b7d51 through ethernet7

7.3.4 VIP


****** 83049.0: <Untrust/ethernet7> packet received [48]******

ipid = 9306(245a), @d78d4070


ethernet7:1.1.70.250/1243->1.1.7.201/23,6<Root>


IP classification from MIP/VIP: vsys Root







1.1.70.250->10.1.2.254




...

flow got session.

flow session id 395


packet send out to 0010db3b7961 through ethernet2

7.3.5 MIP


ipid = 6831(1aaf), @d78ca870


ethernet7:1.1.70.250/1167->1.1.7.201/80,6<Root>


IP classification from MIP/VIP: vsys Root







1.1.70.250->10.1.1.254




session application type 6, name HTTP, timeout 300sec



route to 10.1.1.254



flow got session.

flow session id 130



7.4 Troubleshooting VPN

7.4.1 常用调试命令

1. 正常建立 VPN日志 Corp(208)-> get event

Date Time Module Level Type Description

2003-08-19 10:04:51 system info 00536 IKE<1.1.1.250> Phase 2 msg-id

<bfe77f8f>: Completed negotiations

with SPI <eea6d4dc>, tunnel ID <1>,

and lifetime <3600> seconds/<0> KB.


<bfe77f8f>: Responded to the first

peer message.

2003-08-19 10:04:51 system info 00536 IKE<1.1.1.250> Phase 1: CompletedMain

mode negotiations with a

<28800>-second lifetime.

2003-08-19 10:04:51 system info 00536 IKE<1.1.1.250> Phase 1: Responder

starts MAIN mode negotiations.

2. 正常建立 VPN，phase1 IKE cookie Corp(208)-> get ike cookie

Active: 1, Dead: 0, Total 1

522f/0003, 1.1.1.250:500->4.4.4.250:500, PRESHR/grp2/3DES/SHA,

xchg(2) (toHome/grp-1/usr-1)

resent-tmr 6980452 lifetime 28800 lt-recv 28800 nxt_rekey 28602 cert-expire 0

responder, err cnt 0, send dir 1, cond 0x0

nat-traversal map not available

ike heartbeat : disabled

ike heartbeat last rcv time: 0

ike heartbeat last snd time: 0

XAUTH status: 0

3. 正常建立 VPN，phase2 SA Corp(208)-> get sa active

Total active sa: 1

total configured sa: 1

HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys

00000001< 1.1.1.250 500 esp:3des/sha1 eea6d4dc 3396 unlim A/- 0 0

00000001> 1.1.1.250 500 esp:3des/sha1 fc7f0eb6 3396 unlim A/- 1 0

7.4.2 常见错误（以下日志是从 VPN接收端收集）

1. Phase 1 - Unrecognized Peer Corp(208)-> get event


2003-08-21 11:23:43 system info 00536 IKE<1.1.1.25> Rejected an initial

Phase 1 packet from an unrecognized

peer gateway.

Corp(208)-> get ike gateway

Id Name Gateway Address Gateway ID Mode Proposals

---- --------------- --------------- --------------- ---- ---------

0 toHome 1.1.1.250 Main pre-g2-3des-

2. Phase 1 - Proposal mismatch Corp(208)-> get event


2003-08-21 09:36:33 system info 00536 IKE<1.1.1.250> Phase 1: Rejected

proposals from peer. Negotiations

failed.

2003-08-21 09:36:33 system info 00536 IKE<1.1.1.250> Phase 1: Responder

starts MAIN mode negotiations.

3. Phase 2 - Proposal mismatch Corp(208)-> get event



<70de3cba>: Negotiations have failed.

2003-08-21 10:32:28 system info 00536 IKE<1.1.1.250> Phase 2: Rejected

proposals from peer. Negotiations

failed.


<70de3cba>: Responded to the first

peer message.

4. Phase 2 - Proxy-id mismatch Corp(208)-> get event



<33f3cf52>: Negotiations have failed.

2003-08-21 14:09:19 system info 00536 IKE<1.1.1.250> Phase 2: No policy

exists for the proxy ID received:

local ID (<10.50.0.0>/<255.255.255.0>,

<0>,<0>) remote ID (<10.1.0.0>/

<255.255.255.0>,<0>,<0>)

Documents

Juniper 防火墙安装手册 - highvalue.com.cnhighvalue.com.cn/upload/downloads/2016/11/1477997698.pdf · Juniper防火墙安装手册 神州数码（深圳）有限公司 ... 将接口设置为NAT

Juniper 防火墙安装手册 - highvalue.com.cnhighvalue.com.cn/upload/downloads/2016/11/1477997698.pdf · Juniper防火墙安装手册神州数码（深圳）有限公司 ... 将接口设置为NAT