SRX-WebUI-配置手册资料

目录

WebUI配置前打算工作3

一、设备系统配置4

1.接口配置(静态ip)4

(1)创建平安Zone5

(2)绑定相应接口6

2.接口配置(pppoe)错误!未定义书签。

(1)封装端口为ppp-over-ether错误!未定义书签。

(2)ppp-options西已置错误!未定义书签。

(3)pppoe-options酉己置错误!未定义书签。

(4)Family属性配置错误!未定义书签。

二、交换机vlan模式配置8

1.创建VLAN(RVI)8

2.创建平安Zone并绑定相应RVI11

三、NAT及其策略配置12

1.源地址NAT12

(1)基于接口的源地址NAT12

1)创建NAT规则12

2)创建策略13

(2)基于Pool的源地址NAT15

1)创建NAT规则15

2)Proxyarp17

3)创建策略17

2.目的地址NAT18

(1)创建NAT规则18

(2)创建策略21

1)创建地址列表21

2)创建服务列表21

3)创建策略并调用相关地址及服务22

3.StaticNAT23

(1)创建NAT规则24

(2)创建策略25

1)创建地址列表25

2)创建服务列表26

3)创建策略并调用相关地址及服务27

四、IPSecVPN配置29

1.Site-to-SiteVPN29

(1)基于策略的IPSecVPN(main模式)29

1)基本配置29

2)Phase1配置30

A.仓ij建phase1proposal30

B.创建IKEPolicy31

C.创建Gateway32

3）Phase2配置33

A.仓1J建phase2proposal33

B.创建IPSecPolicy34

C.创建Autokey35

4）策略36

（2）基于策略的IPSecVPN（aggressive模式）37

1）基本配置37

2）Phase1配置38

A.创建phase1proposal38

B.创建IKEPolicy39

C.创建Gateway41

3）Phase2配置42

A.创建phase2proposal42

B.创建IPSecPolicy43

C.创建Autokey44

4）策略45

（3）基于路由的IPSecVPN（VPNWizards加置方式）47

1）基本配置47

2）运用J-Web的VPNWizards配置48

2.DynamicVPN55

（1）基本配置55

（2）Dynamicvpn配置步骤55

1）典型配置方式55

A.定义VPN拨号用户及地址池55

B.定义IPSecVPN57

C.将拨号用户与VPN相关联62

D.策略63

2）VPNWizards配置方式64

（3）登录68

WebUI配置前打算工作

SRX系列设备默认是没有开启WEB服务的，因此我们须要通过console进入CLI,给设

备配置一个管理IP，并开启服务，以便于PC可以通过web界面登录至SRX进行配置管

理。

吩咐行配置参考如下：

setsystemservicesweb-management

setsecurityzonesfunctional-zonemanagementinterfacesge-0/0/15.0

setsecurityzonesfunctional-zonemanagementhost-inbound-trafficsystem-servicesall

连接PC至SRX的ge-0/0/15口，配置PC网卡为网段，打开IE阅读器，输入，出现如下

登录界面

输入用户名、密码，点击“Login”即可。

点击“Dashboard”，可视察当前设备的系统状态、告警信息、资源利用率等，如下图。

(1)创建平安Zone

依据拓扑，我们须要把Ge-0/0/4绑定至UntrustZone,Ge-0/0/3绑定至TrustZone,那

么我们就须要创建2个平安Zone,分别为UntrustZone和TrustZone,并绑定相应端口。

点击“Security”>“Zones/Screens”，然后点击“Add”,

在当前弹出窗口的“Zonename”文本框中，填入“untrust",并保持"Zonetype”默认

的“security”类型不变，如下图所示

为便于测试,我们还须要将ping服务打开，点击“Hostinboundtraffic-Zone",在"Services”

栏中选择“Ping”，然后点击“OK”即可。

同样，我们依据相同步骤再添加一个trustzone,并开启相关services。

吩咐行配置参考如下：

setsecurityzonessecurity-zoneuntrust

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesping

setsecurityzonessectrity-zonetrust

setsecurityzonessectrity-zonetrusthost-inbound-trafficsystem-servicesall

(2)绑定相应接口

点击“Interfaces”，在端口列表中选中“Ge-0/03”,然后点击“Add”>“LogicalInterface”

CJuniperfebDevicelanacer-VindovsInternetExplorer

1681.1/13句X的

文悻Q)胸疆R)as®啧津英s)Ifltt)纣助QP

依亚英•Jmip«rftbDevice

DMhooard

InterlaceConfigurdtion

FAerbyhterfkeTyp«▼AlInterfxesv[Go][Char]

murftc*©5kSUM

ge-CWt)@@OOKMH

®©Up

豆»p-(W0«@UP

pe-tvaia©Down

|9»-(W3@

」

0e-a*G4T®iup

ge-CW$⑥up卷DOSN”

®up©Down

*W7(up®Oown

在弹出的端口配置窗口中，配置如卜信息:

然后，我们再依据相同步骤，配置“Ge-0/0/4”端口的相应信息。

吩咐行配置参考如下:

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/3.0

setsecurityzonessectrity-zonetrustinterfacesge-0/0/4.0

注：在Junipei•的ScreenOS系列防火墙中，必需先创建Zone,然后才能配置端口，而

在SRX系列中，并不是必需遵循这一依次的，我们可以先创建Zone再配置端口，也可以先

配置端口再创建Zone。

1、交换机vlan模式配置

拓扑如下

PC-2：00/24

Untrust

Vian100.Ge-0/0/l~2

/24

Vian10：Ge-0/0/3-4

/24

Trust

PC-.100/24

如下图所示,我们须要创建2个Vian,将Ge-0/0/1和Ge-0/0/2绑定至Vian100,将

Ge-0/0/3和Ge-0/0/4绑定至Vian10,并将这2个Vian分别绑定至Untrustzone和Trustzcne。

1.创建VLAN(RVI)

点击“Switching”>“VLAN”，然后点击“Add”创建一个Vian,

JuniperfcbDevicelanagciVindovsInternetExplorer

i|/JIWIM11〃”“，y]+凶包

然后在“Ports”选项栏，点击“Add...”,将Ge-0/0/1和Ge-0/0/2绑定至该Vian,如下

图所示：

在“IPaddress”选项栏中，填写P如下:

AddVLAN

[OK]Cancel

完成以上配置后，点击“OK”,SRX将自动给我们创建的VALN100安排一个unit值（从

0起先安排），该值在we匕界面上不行修改，如下图所示：

VLANConfiguration

VLANNameVLAWO/RangeDescnption

vten-100100vlan-untrust

default1Hone

DetailsofVLAN:vlan-100

Name

|Multilayerswitching(RVl)

vton.O

Paddress1001.11/24

Layer3-interface-inputfilterHone

Layer3-lnterface-outputfrfterHone

完成以上配置后，我们再依据相同步骤创建一个Vian10。（略）

注：在Web界面的端口列表中，不会显示Vian端口及相关信息，所以无法对vlan端口

的unit值进行修改，假如须要修改，只能通过CLI进行操作。

2.创建平安Zone并绑定相应RVI

点击“Security”>uZones/Screensn,然后点击“Add”,在弹出窗口中，创建一个Untrust

Zone,并将vlan.O绑定至该zone,如下图所示，

为便于测试,建议在Hostinboundtraffic选项栏中,将ping打开。

依据相同步骤,再创建一个Trustzone,并将vlan.l绑定至trustzone,如下图

AddZone

MainHostinboundtraffic-Zone]Hostinboundtraffic-Interface

*Zonename:|trust

*Zonetype:©security

Ofunctional

Trafficcontroloptions

SendRSTfornonmatchingsession:口

Bindingscreen:

Interfacesinthiszone:Available-

ge-0/0/1.0

ge-0/0/2.0

ge-0/0/3.0

ge-0/0/4.0

ge-0/0/15.0

OK]ICancei

2、NAT及其策略配置

1.源地址NAT

(1)基于接口的源地址NAT

拓扑如下

10.1.1.1|100.Ll.10T|lOO.l.LloG

1)创建NAT规则

点击“NAT”>SourceNAT”，在“SourceRuleSet”当前界面下，点击“Add”创建一

条RuleSet,如下图

JuniperFebDevicelana^et-VindovsInternetExplorer

卜〃侦,ice.i.iv♦，八

文件G)审线d)查看00收藏夹(A)工具CT)帮助OO

收寒夹•JuniperMobDeviceM皿

在“AddRuleSet”弹出窗口中,定义"RuleSetName"名为nat-src-int,并选择FromZone

为trust,ToZone为untrust,然后点击"Add"创建一条"Rule”,

在“AddRule”弹出窗口中，给该rule命名为T',然后定义“SoureAddress”为,"Destination

Address"为，并在"Action”选项栏中选择“DoSourceNATWithEgressInterfaceAddress”,

其余保持默认，点击“OK”，即可。

2）创建策略

点击“Security”>“Policy”>“FWPolicies”，然后点击“Add”创建一条策略,

在策略弹出窗口中，设置如下参数:

PolicyName：1

FromZone：trust

ToZone：untrust

SourceAddress：any-ipv4

DestinaAddress：any-ipv4

Application：any

PolicyAction：permit

如下图所示，设置完成后，点击“OK”即可。

AddPolicy

PolicyLogging/CountSchedulingPermitActionAppScabonServices

*PokyAction:Ipermit

*ToZone:Iuntrust

*DestinationAddress

Address-BookMatched

any

any-ipv60

□Addnewdestinationaddress

*Applications

*AppicatronApplication«/SetsMatched

Junos-ftp人pHany

Junos-cftp0

Junosrtsp

junos-netbios-session

junos-smb-session

Search:

OK11Cancel

（2）基于Pool的源地址NAT

拓扑如下

TrustUntrust

Ge-0/0/3Ge-0/0/4PC-2：00/24

PC-l：/24/24lOC.1.1.1/24

100.1.L100100.1.L10~20|00

1）创建NAT规则

配置基于Pool的源地址转换，须要创建一个地址池（Pool）。点击“NAT”>“SourceNAT",

在SourceNATPoolw界面下，点击“Add”创建一个NAT地址池，如下图

定义“PoolName”名为nat-pool,“PoolAddresses”为，其余保持默认，点击“0K”即

可。

然后再回到“SourceRuleSet”界面，点击“Add”创建一条RuleSet,如下图

(Juniper¥ebDevicelanacer一findowsInternetExplorer

在“AddRuleSet”弹出窗口中,定义“RuleSetName”名为nat-src-pooL并选择From

Zone为trust,ToZone为untrust,然后点击"Add"创建一条"Rule”,

在“AddRule”弹出窗口中，给该rule命名为’1”,然后定义“SoureAddress”为,“Destination

Addressn为，并在“Action”选项栏中选择“DoSourceNATWithPool”，并在下拉菜单中选

择之前我们创建的“nat-pool”，其余保持默认，点击“0K”，即可。

注：在CLI中，须要首先创建一个Pool,然后再创建NAT规则并调用该Pool：而在WebUI

中，我们即可以先创建Pool,再创建NAT规则，也可以先创建NAT规则,然后在“AddRule”

弹出窗口中的“Action”选项栏中，通过点击“AddNewPool”来创建Pool。可见,SRX的

WebUI更加敏捷。这一特性同样适用于目的地址NATo

2)Proxyarp

SRX多了一个proxy-arp的概念，假如定义的IPPool（可用于源或目的地址转换）与接

UIP在同一子网时，则需配置SRX对这个Pool内的地址供应ARP代理功能，这样对端设备

能够解析到IPPool地址的MAC地址（运用接口MAC地址响应对方），以便于返回报文能够

送达SRX,

点击“NAT”>“ProxyARP”，然后点击“Add”添加ARP代理,在弹出窗口中,选择Interface

为ge-0/0/4.0,Addresses为,完成后点击“OK”即可。

如下图所示：

创建策略

该策略配置与基于接口的源地址NAT策略配置一样，此处WebUI配置略。

吩咐行配置参考如下：

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit

2.目的地址NAT

拓扑如下:

UntrustTrust

Gc-O/O/4Ge-O/O/3

PC-1：1OO.1.1.100/24/24/24PC-2：/24

100.1.1.100100.1.1.100I10.1.1.2:8080

(1)创建NAT规则

点击“NAT”>“DestinationNAT"，在aDestinationRuleSetw当前界面下，点击“Add”

创建一条RuleSet,如下图

SouceMKT”6*I

的6,ARP

在"AddRuleSet”弹出窗口中,定义“RuleSetName”名为nat-dst,并选择FromZone

为untrust,然后点击“Add”创建一条“Rule”，

在“AddRule”弹出窗口中,给该rule命名为'1”,然后定义“SoureAddress”为,"Destination

Addressn为，“Port”为8080,并在“Action”选项栏中选择“DoDestinationNATWithPool”，

点击“AddNewPool”,如下图

注：在SRX系列设备上做目的地址NAT时,wDestinationAddress处填写的是真实IP,

即hostaddress,而ScreenOS系列防火墙在做MIP时，填写的是映射地址，请留意区分开来。

在"AddDestinationPool”弹出窗口中,定义“PoolName”名为nat-pool,填写PoolIP

为，Port为8080,其余保持默认，点击“OK”即可。

回到“AddRule”窗口，在下拉菜单中选中刚才我们建立的“nat-pool”，然后依次点击

“OK”。

吩咐行配置参考如下:

setsecuritynatdestinationpoolnat-pooladdressport8080

setsecuritynatdestinationrule-setnat-dstfromzoneuntrust

setsecuritynatdestinationrule-setnat-dstrule1matchdestination-port8080

setsecuritynatdestinationrule-setnat-dstrule1thendestination-natpoolnat-pool

(2)创建策略

1）创建地址列表

首先，我们须要创建一条address,用「策略所需的目的地址。点击“Security”>“Policy

Elementsv>“AddressBook”,然后点击"Add",在弹出的“AddAddress”窗口中,完成如

下配置，然后点击“OK”即可。

吩咐行配置参考如下:

setsecurityzonessecurity-zonetrustaddress-bookaddresspc-2/32

2）创建服务列表

然后，我们还须要创建一条application,用于策略所需的目的端口。点击“Security”>

uPolicyElementsMApplications然后点击“Add”,在弹出的“AddanApplicationn窗

口中，完成如下配置，然后点击“OK”即可。

吩咐行配置参考如下:

setapplicationsapplicationtcp-8080protocoltcp

setapplicationsapplicationtcp-8080source-port0-65535

setapplicationsapplicationtcp-8080destination-port8080-8080

setapplicationsapplicationtcp-8080inactivity-timeout1800

3）创建策略并调用相关地址及服务

点击“Security”>“Policy">"FWPolicies0,然后点击“Add”创建一条从untrust到trust

的策略，在策略弹出窗口中，设置如下参数；

PolicyName：1

FromZone：untrust

ToZone：trust

SourceAddress：any

DestinaAddress：pc-2

Application：tcp-8080

PolicyAction：permit

如下图所示，设置完成后，点击“0K”即可

*SourceAddress

Address-BookMatched

any-ipv4田［any

any-ipv6s

□Addnewsourceaddress

*Applications

*ApplicationAppliesbons/Sets

any

junos-ftp

junos-tftp

junos-rtsp

junos-netbios-sesscn

Search:

吩咐行配置参考如下:

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchsource-addressany

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchdestination-addresspc-2

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplicationtcp-8080

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit

3.StaticNAT

拓扑如下

Un+rustTrust

oGe-0/0/4Ge-0/0/3

PC-l：00/24/24/24PC-3gl.1.3/24

00巨:8080厂^^|00|:8080|

100.L1.100|:80可・「00|:80利

(1)创建NAT规则

点击“NAT”>StaticNAT”,点击“Add”创建一条RuleSeto在“AddRuleSet”弹出

窗口中定义"RuleSetName”为nat-static,<4FromZone"选择untrust,完成后再点击“Add”

添加一条Rule,如下图

AddRuleSet

在“AddRule”弹出窗口中,完成如下参数的配置，然后依次点击“0K”即可。

RuleName：1

DestinationAddress：

StaticPrefix：

AddRule区

*RuleName:Q

Match

DestinationAddress:1100.1.1W

|OK][Cancel]

吩咐行配置参考如下：

setsecuritynatstaticrule-setnat-staticfromzoneuntrust

注：在SRX系列设备上做StaticNAT时,在“destinationaddress"中，我们填写的是映

射地址,在staticprefix中.我们填写的是真实地址,即hostaddress。此处与Sc仕enOS系列

防火墙配置类似。

(2)创建策略

1)创建地址列表

首先，我们须要创建一条address,用于策略所需的目的地址。点击“Security”>“Policy

Elementsn>“AddressBook”,然后点击"Add”,在弹出的“AddAddress”窗口中，完成如

下配置，然后点击“0K”即可。

吩咐行配置参考如下：

setsecurityzonessecurity-zonetrustaddress-bookaddresspc-3/32

2）创建服务列表

然后，我们还须要创建一条application,用于策略所需的目的端口。点击"Security">

"PolicyElementsvApplications然后点击“Add”,在弹出的“AddanApplicationn窗

口中，完成如下配置，然后点击“OK”即可。

吩咐行配置参考如卜.:

setapplicationsapplicationtcp-8080protocoltcp

setapplicationsapplicationtcp-8080source-port0-65535

setapplicationsapplicationtcp-8080destination-port8080-8080

setapplicationsapplicationtcp-8080inactivity-timeout1800

3）创建策略并调用相关地址及服务

点击“Security”>“Pclicy”>“FWPolicies然后点击“Add”创建­条从untrust至ijtrust

的策略，在策略弹出窗口中，设置如下参数：

PolicyName：1

FromZone：untrust

ToZone：trust

SourceAddress：any-ipv4

DestinaAddress：pc-3

Application：tcp-8080

PolicyAction：permit

如下图所示，设置完成后，点击“OK”即可

然后，我们再添加一条从trust到untrust的策略，如下图所示，设置完成后点击“。心

即可。

*Applications

"ApplicationApplkdtions/Sets

tcp-8080

junos-ftp

junos-tftp

junos-rtsp

junos-netbios-sessicn

V

Search:

[C^cel

吩咐行配置参考如下：

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchsource-addressany

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchdestination-addresspc-3

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplicationtcp-8080

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchsource-addresspc-3

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchdestination-addressany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchapplicationany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2thenpermit

3、IPSecVPN配置

1.Site-to-SiteVPN

（1）基于策略的IPSecVPN（main模式）

拓扑如下

Untrust

SRX-1Gc-o/o/oSRX-2

/24-/24

Ge-0/0/3Gc-0/0/3

Trust10111/2420111/24Trust

PC-l：00/24PC-2：00/24

1）基本配置

首先依据拓扑给2台SRX设备配置zone、interfaces及路由等相关信息。WebUI配置步

骤请参考本文其他相关章节。吩咐行配置参考如下：

SRX-1：

setinterfacesge-O/O/C

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesall

setinterfacesge-0/0/3

setsecurityzonessecurity-zonetrustinterfacesge-0/0/3.0

setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall

SRX-2：

setinterfacesge-O/O/Cunit0familyinetaddress/24

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0

setsecurityzonessectrity-zoneuntrusthost-inbound-trafficsystem-servicesall

setinterfacesge-0/0/3unit0familyinetaddress2

setsecurityzonessectrity-zonetrustinterfacesge-0/0/3.0

setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall

1

2）Phase1配置

运用IKE配置IPSec隧道的Phase1,应当先创建proposal（假如运用预定义的proposal,

则此步骤可略过）然后是ikepolicy,最终是gateway。

A.仓1J建phase1proposal

点击wIPSecVPNwAutoTunnelw>“PhaseI”，在当前窗口下，点击aProposalw,

然后点击“Add”添加一条proposal,依据不同的需求，选择相应的算法及其他相关参数,

如下图所示

吩咐行配置参考如下:

SRX-1：

setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys

setsecurityikeproposalike-pro-1dh-groupgroup2

setsecurityikeproposalike-pro-1authentication-algorithmmd5

setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc

setsecurityikeproposalike-pro-1lifetime-seconds900

SRX-2：

setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys

setsecurityikeproposalike-pro-1dh-groupgroup2

setsecurityikeproposalike-pro-1authentication-algorithmmd5

setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc

setsecurityikeproposalike-pro-1lifetime-seconds900

B.创建IKEPolicy

点击“IKEPolicy"，添加一条IKEPolicy。

在“AddPolicy”弹出窗口中,首先定义策略“Name”为汰e-policy-1；

然后选择Mode为main；

假如VPN两端的IP地址都是静态IP,则可以选择mainmode或者aggressivemode,假

如VPN两端有随意一端是动态IP（如ADSL方式），则必需选择aggressivemode。

最终选择Proposal中，可以选择预定义的proposal,如standard、basic或者compatible

等，也可以选择自定义的proposal,如之前我们定义的“ike-pro-1”。在本例中,我仅选择

的proposal为standard：：

如下图所示：

MPobcy睦PokyOrtons

■Name:“poky」

DesWM:

Mode:[man

[•IPSecVPNPropowl

诵Pr®dofn«dRXxd

•AutoTunndOUserDefined

PropoalL«t:s

s

ke-pro-1s

s

.&rnan»cVWi

[<XJ[Caned

然后,在“IKEPolicyOptions”中，创建PreSharedKey,完成后点击“OK”。

吩咐行配置参考如下:

SRX-1：

setsecurityikepolicyike-policy-1modemain

setsecurityikepolicyike-policy-1proposal-setstandard

setsecurityikepolicyike-policy-1pre-shared-keyascii-textjuniper

SRX-2：

setsecurityikepolicyike-policy-1modemain

setsecurityikepolicyike-policy-1proposal-setstandard

setsecurityikepolicyike-policy-1pre-shared-keyascii-textjuniper

C.仓1J建Gateway

点击”Gateway"，添加一条Gateway。

在“AddGateway”弹出窗口中，完成如下参数:

Name：GwToSRX2

Policy：在下拉菜单中选择之前创建的“ike-policy-l”

ExternalInterface：在下拉菜单中选择出向端口，本例中为“ge-0/0/0”

SitetoSiteTunnel：勾选

Address/FQDN：填写对端VPN网关IP,本例为

吩咐行配置参考如下:

SRX-1:

setsecurityikegatewayGwToSRX2ike-policyike-policy-1

setsecurityikegatewayGwToSRX2external-interfacege-0/0/0.0

SRX-2：

setsecurityikegatewayGwToSRXlike-policyike-policy-1

setsecurityikegatewayGwToSRXladdress

setsecurityikegatewayGwToSRXlexternal-interfacege-0/0/0.0

3）Phase2配置

配置IPSec隧道的Phase2,应当先配置phase2proposal（假如运用预定义的proposal,

则此步骤可略过），然后配置IPSecpolicy,最终是AutokeyIKEo

A.仓ij建phase2proposal

点击“IPSecVPN”>44AutoTunnelv>“PhaseII”，在当前窗口下点击“Proposal”添加

一条proposal,在“AddProposal"弹出窗口下，完成如下参数的设置，然后点击“OK”即

可。

Name：ipsec-pro-1

Authenticationalgorithm：hmac-md5-96

Encryptionalgorithm：3des-cbc

Lifetimeseconds：3600

吩咐行配置参考如卜.:

SRX-1：

setsecurityipsecproposalipsec-pro-1protocolesp

setsecurityipsecproposalipsec-pro-1authentication-algorithmhmac-md5-96

setsecurityipsecproposalipsec-pro-1encryption-algorithm3des-cbc

setsecurityipsecproposalipsec-pro-1lifetime-seconds3600

SRX-2：

setsecurityipsecproposalipsec-pro-1protocolesp

setsecurityipsecproposalipsec-pro-1authentication-algorithmhmac-m