基于路由的×××
1. 概念
a. 不需要Policy去触发×××隧道的建立
b. 需要去建立一个Tunnel接口,专门来传输×××的数据流量
* 一个Tunnel接口可以绑定给多个×××实例
c. 到达私网的×××流量需要使用该Tunnel接口(到达对方私网网段的出接口为Tunnel接口)
d. 基于路由的×××的优势:
1.一直有效
2. 不会受到Policy的影响
3. 可以使用动态路由协议(基于策略的×××将不能使用动态路由协议)
* 到达对方网段的路由条目的出接口必须是Tunnel接口
2. Tunnel接口
a. 绑定Zone
b. 配置IP地址(借用地址)
c. 指定Tunnel接口的Number
特性:
a. 可以给Tunnel接口配置私网地址
b. Tunnel接口的地址不能够和物理接口冲突(在同一个VR下)
c. 可以配置MIP或VIP
d. 两台设备作Route-Based ××× Tunnel接口的地址网段必须属于同一个网段
e. Tunnel接口地址可以借用其他的物理接口IP地址,但不能做MIP/VIP
3. ×××的配置
a. 建立一个Tunnel接口
set interface tunn.1 zone untrust
set interface tunn.1 ip 172.16.1.1/24
或
set interface tunn.1 ip unnumbered interface eth3
b. 建立一个IKE的网关
set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub proposal pre-g2-3des-md5
c. 建立一个×××
set vpn y1-y2 gateway to-y2 sec-level standard
将×××网关绑定到Tunnel接口
set vpn y1-y2 bind interface tunn.1
d. 配置到达Peer的网段路由
set route 10.1.2.0/24 interface tunn.1
e. 建立Policy
如果Tunnel接口与源接口在同一个Zone,不需要Policy
如果Tunnel接口与源接口在不同的Zone,必须配置Policy
基于路由的错误点:
a. Tunnel接口和源接口在同一个Zone,不需要策略,
但IntraZone的Block要Off
b. 路由错误
c. 策略不允许
