iT邦幫忙

0

有人對 juniper ip-sec vpn proxy-id 熟的嗎?

想請問甚麼情況下建立juniper ip-sec vpn要勾選 proxy-id?
看起來似乎是一種宣告自身網段的方式,但官方文件又提到是一種在VPN溝通階段會使用到的封裝技術
不是很懂,想請教一下各位前輩

KB如下
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5565&actp=search

1 個回答

0
zyman2008
iT邦大師 8 級 ‧ 2016-03-30 11:06:02
最佳解答

在此將分別以RFC標準與VPN設備實際應用兩個角度來說明 proxy-id 的意義.

先從RFC標準角度來說明:
IPSec VPN在建立tunnel時,雙方會先用IKE這個協定作溝通.
IKE這個協定,其實是參考了另外三個協定ISAKMP,OKALEY,SKEME的做法產生出來的.
RFC定義IKE在溝通過程有兩個phase,phase1與phase2
而proxy-id,其實就是在phase2溝通時用的其中一個參數.
ID of source for which ISAKMP is a client
ID of destination for which ISAKMP is a client
參考:RFC2409 page.25,https://www.ietf.org/rfc/rfc2409.txt

可是RFC2409只看到ID這個字,Juniper為何會多了proxy這個字眼呢?
原因是在協定發展過程中的draft,先用到proxy這個字眼,但後來被改掉了.
參考:draft-ietf-ipsec-isakmp-oakley-04,page.18

所以早期開發VPN設備的人,一開始設計就用到這個詞,而延用至今.
而目前市面上IPSec VPN用proxy-id這個字眼的廠商不多,且都是師出同門.
例如:Netscreen,juniper,Paloalto

zyman2008提到:
proxy-id

不知道你對 juniper ip-sec vpn 熟不熟
proxy-id 是否為建立 ip-sec vpn 之必要參數呢?
因為不設 proxy-id 其實也建的通,不知道為什麼

zyman2008 iT邦大師 8 級 ‧ 2016-03-30 13:46:09 檢舉

所以問題問的:
甚麼情況下建立juniper ip-sec vpn要勾選 proxy-id?
Ans:要看VPN的另一端是甚麼牌子,VPN怎麼設定的.
1.若另一端也是Juniper,也沒勾選另外設定proxy-id.
那就不用勾選與設定.
2.不管另一端是哪牌產品,有另外設定proxy-id為非預設值.
那就要勾選並作相對應的設定.

我要發表回答

立即登入回答