有人對　juniper ip-sec vpn proxy-id 熟的嗎？

juniper proxy

partywei626 2016-03-29 20:20:00 ‧ 3335 瀏覽

分享至

想請問甚麼情況下建立juniper ip-sec vpn要勾選 proxy-id？
看起來似乎是一種宣告自身網段的方式，但官方文件又提到是一種在VPN溝通階段會使用到的封裝技術
不是很懂，想請教一下各位前輩

KB如下
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5565&actp=search

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

zyman2008

iT邦大師 6 級 ‧ 2016-03-30 11:06:02

最佳解答

在此將分別以RFC標準與VPN設備實際應用兩個角度來說明 proxy-id 的意義.

先從RFC標準角度來說明:
IPSec VPN在建立tunnel時,雙方會先用IKE這個協定作溝通.
IKE這個協定,其實是參考了另外三個協定ISAKMP,OKALEY,SKEME的做法產生出來的.
RFC定義IKE在溝通過程有兩個phase,phase1與phase2
而proxy-id,其實就是在phase2溝通時用的其中一個參數.
ID of source for which ISAKMP is a client
ID of destination for which ISAKMP is a client
參考:RFC2409 page.25,https://www.ietf.org/rfc/rfc2409.txt

可是RFC2409只看到ID這個字,Juniper為何會多了proxy這個字眼呢?
原因是在協定發展過程中的draft,先用到proxy這個字眼,但後來被改掉了.
參考:draft-ietf-ipsec-isakmp-oakley-04,page.18

所以早期開發VPN設備的人,一開始設計就用到這個詞,而延用至今.
而目前市面上IPSec VPN用proxy-id這個字眼的廠商不多,且都是師出同門.
例如:Netscreen,juniper,Paloalto

回應 2
分享
檢舉

partywei626 iT邦新手 5 級 ‧ 2016-03-30 11:52:32 檢舉

zyman2008提到：
proxy-id

不知道你對 juniper ip-sec vpn 熟不熟
proxy-id 是否為建立 ip-sec vpn 之必要參數呢?
因為不設 proxy-id 其實也建的通，不知道為什麼

zyman2008 iT邦大師 6 級 ‧ 2016-03-30 13:46:09 檢舉

所以問題問的:
甚麼情況下建立juniper ip-sec vpn要勾選 proxy-id？
Ans:要看VPN的另一端是甚麼牌子,VPN怎麼設定的.
1.若另一端也是Juniper,也沒勾選另外設定proxy-id.
那就不用勾選與設定.
2.不管另一端是哪牌產品,有另外設定proxy-id為非預設值.
那就要勾選並作相對應的設定.

登入發表回應