SSG - Policy-Based Configuration

　◆　ポリシーベースVPN 設定例

　　　

　set hostname SSG5-1

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 1.1.1.1/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.1.1/24
　set int ethernet0/1 route

　set route 0.0.0.0/0 int e0/0 gateway 1.1.1.254

　set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare juni1234 sec-level standard
　set vpn P2TOKYO gateway P1TOKYO sec-level standard
　
　set address Trust OSAKANW 172.16.1.0/24
　set address Untrust TOKYONW 172.16.2.0/24

　set policy id 1 from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
　set policy id 2 from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO

　set hostname SSG5-2

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 2.2.2.2/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.2.1/24
　set int ethernet0/1 route

　set route 0.0.0.0/0 int e0/0 gateway 2.2.2.254

　set ike gateway P1OSAKA address 1.1.1.1 outgoing-int e0/0 preshare juni1234 sec-level standard
　set vpn P2OSAKA gateway P1OSAKA sec-level standard

　set address Trust TOKYONW 172.16.2.0/24
　set address Untrust OSAKANW 172.16.1.0/24

　set policy id 1 from Trust to Untrust TOKYONW OSAKANW ANY tunnel vpn P2OSAKA
　set policy id 2 from Untrust to Trust OSAKANW TOKYONW ANY tunnel vpn P2OSAKA

　【　失敗している例　】
　

　※　上記の結果は、SSG5-1 ⇔ SSG5-2間のIP到達性がない（ルーティングが失敗している）場合の時の結果です。

　【　成功している例　】
　

　◆　トラブルシューティング： get event type 536

　get event type 536コマンドにより、IKEフェーズ1またはIKEフェーズ2の問題なのかが分かります。

　●　IKE Phase 1 - ピアが認識されない ( Descriptionの表示 )
　○　イニシエーター側 - Phase 1 : Initiated negotiations in main mode.
　○　受信側 - Phase 1 : Rejected an initial Phase 1 packet from an unrecognized peer gateway.
　原因 1 ：ピアゲートウェイアドレスの構成ミス
　原因 2 ：ピアIDの構成ミス
　原因 3 ：出力インターフェースが正しくない

　●　IKE Phase 1 - プロポーザルの不一致 ( Descriptionの表示 )
　○　イニシエーター側 - Phase 1 : Retransmission limit has been reached.
　○　受信側 - Phase 1 : Rejected proposals from peer. Negotiations failed.
　原因： IKEフェーズ 1 のプロポーザルの不一致

　●　IKE Phase 2 - プロポーザルの不一致 ( Descriptionの表示 )
　○　イニシエーター側 - Received notify message for DOI <1> <14> <NO_PROPOSAL_CHOSEN>.
　○　受信側 - Phase 2 : Rejected proposals from peer. Negotiations failed.
　原因： IKEフェーズ 2 のプロポーザルの不一致

　●　IKE Phase 2 - プロキシIDの不一致 ( Descriptionの表示 )
　○　イニシエーター側 - Phase 2 : Initiated negotiations
　○　受信側 - Phase 2 : No policy exists for the proxy ID received : local ID --- remote ID ---
　原因： IKEフェーズ 2 のプロキシIDの不一致