基于路由的×××

1. 概念

a. 不需要Policy去触发×××隧道的建立

b. 需要去建立一个Tunnel接口,专门来传输×××的数据流量

* 一个Tunnel接口可以绑定给多个×××实例

c. 到达私网的×××流量需要使用该Tunnel接口(到达对方私网网段的出接口为Tunnel接口)

d. 基于路由的×××的优势:

1.一直有效

2. 不会受到Policy的影响

3. 可以使用动态路由协议(基于策略的×××将不能使用动态路由协议)

* 到达对方网段的路由条目的出接口必须是Tunnel接口

2. Tunnel接口

a. 绑定Zone

b. 配置IP地址(借用地址)

c. 指定Tunnel接口的Number

特性:

a. 可以给Tunnel接口配置私网地址

b. Tunnel接口的地址不能够和物理接口冲突(在同一个VR下)

c. 可以配置MIP或VIP

d. 两台设备作Route-Based ××× Tunnel接口的地址网段必须属于同一个网段

e. Tunnel接口地址可以借用其他的物理接口IP地址,但不能做MIP/VIP

3. ×××的配置

a. 建立一个Tunnel接口

set interface tunn.1 zone untrust

set interface tunn.1 ip 172.16.1.1/24

set interface tunn.1 ip unnumbered interface eth3

b. 建立一个IKE的网关

set ike gateway to-y2 address 1.1.1.2 outgoing-interface eth3 preshare cjclub proposal pre-g2-3des-md5

c. 建立一个×××

set *** y1-y2 gateway to-y2 sec-level standard

将×××网关绑定到Tunnel接口

set *** y1-y2 bind interface tunn.1

d. 配置到达Peer的网段路由

set route 10.1.2.0/24 interface tunn.1

e. 建立Policy

如果Tunnel接口与源接口在同一个Zone,不需要Policy

如果Tunnel接口与源接口在不同的Zone,必须配置Policy

基于路由的错误点:

a. Tunnel接口和源接口在同一个Zone,不需要策略,

但IntraZone的Block要Off

b. 路由错误

c. 策略不允许