Juniper防火墙维护手册

《Juniper防火墙维护手册（版本号：V1.0）1《一、Juniper防火墙介绍............................................................................51.1、NS5000系列................................................................................................51.1.1、NS5400..............................................................................................51.1.2、NS5200..............................................................................................51.2、ISG系列.......................................................................................................61.2.1、ISG2000.............................................................................................61.2.2、ISG1000.............................................................................................61.3、SSG500系列................................................................................................71.3.1SSG550M.............................................................................................71.3.2SSG520................................................................................................71.4、SSG300系列................................................................................................81.4.1SSG350M.............................................................................................81.4.2SSG320M.............................................................................................81.5、SSG140系列................................................................................................81.5.1SSG140................................................................................................91.6、SSG5/20系列...............................................................................................91.6.1SSG5....................................................................................................91.6.2SSG20..................................................................................................9二、防火墙常用配置2.1Juniper防火墙初始化配置和操纵...............................................................102.2查看系统概要信息.......................................................................................142.3主菜单常用配置选项导航............................................................................162.4Configration配置菜单...............................................................................172.5Update更新系统镜像和配置文件...............................................................182.5.1更新ScreenOS系统镜像...................................................................182《2.5.2更新configfile配置文件.................................................................192.6Admin管理....................................................................................................202.7Networks配置菜单.......................................................................................222.7.1Zone安全区.......................................................................................227.2Interfaces接口配置.......................................................................................247.2.1查看接口状态的概要信息.................................................................247.2.2设置interface接口的基本信息.........................................................247.2.3设置地址转换.....................................................................................262.7.4设置接口SecondaryIP地址.............................................................342.7.5Routing路由设置...............................................................................342.8Policy策略设置............................................................................................372.8.1查看目前策略设置............................................................................372.9创建策略........................................................................................................382.10对象Object设置.........................................................................................402.11策略Policy报告Report.............................................................................41四、防火墙日常应用4.1、Netscreen冗余协议（NSRP.................................................................434.1.1、NSRP...........................................................................434.1.2NSRP...........................................................................444.2、策略配置与优化（Policy）......................................................................454.3、攻击防御（Screen）..................................................................................464.4、特殊应用处理.............................................................................................484.4.1、长连接应用处理..............................................................................484.4.2、不规范TCP应用处理....................................................................494.4.3、VOIP应用处理...............................................................................49五、防火墙日常维护5.1、常规维护.....................................................................................................525.2、常规维护建议：.........................................................................................555.3应急处理.......................................................................................................563《5.3.1检查设备运行状态.............................................................................575.4、总结改进...................................................................................................585.5、故障处理工具...........................................................................................58六、Juniper防火墙设备恢复处理方法................................................706.1设备重启动....................................................................................................706.2操作系统备份................................................................................................706.3操作系统恢复................................................................................................716.4配置文件备份................................................................................................716.5配置文件恢复................................................................................................726.6恢复出厂值....................................................................................................726.7硬件故障处理................................................................................................726.8设备返修（RMA）......................................................................................7341.1.1、NS5400性能和处理能力15Gbps3DESVPN25,000IPSecVPN通道1.1.2、NS5200性能和处理能力10Gbps防火墙(>4G64byte小包)1.2.1、ISG2000性能和处理能力最大在线会话数：100万，每秒23,000个新会话1.2.2、ISG1000性能和处理能力《防火墙数据包转发性能：1.5MPPS最大在线会话数：50万，每秒20,000个新会话SSG550M4Gbps的FWIMIX/600Kpps1Gbps的FWIMIX/500MbpsIPSecVPN6个I/O插槽–4个可插LAN口模块双电源，DC为选项，NEBS为选项12.8万个会话，1,000条VPN隧道1.3.2SSG5202Gbps的FW/300Kpps600Mbps的FWIMIX/300MbpsIPSECVPN6个I/O插槽–2个可插LAN口模块单一AC或DC电源6.4万个会话，500条VPN隧道71.4.1SSG350M9.6万个会话，每秒2.6万会话1.4.2SSG320M6.4万个会话，每秒2万会话1.6.1SSG5SSG20是一个模块化平台，提供160Mbps的状态防火墙流量和《40Mbps的IPSecVPN吞吐量。SSG20配备5个内部集成的10/100接口和2个I/OI/O卡ADSL2+、T1、E1、ISDNBRIS/T以及802.11a/b/g和多种无线特定的安全性支持是可选项，使SSG20能够将安全性、路由和无线接入点整合到单个设备中。对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console控制台和WEB。Console控制台：使用Console线连接到Juniper的防火墙上的Console口，利用超级终端用CLI命令行界面进行配置。使用WEB界面：Juniper防火墙上默认情况下在E1接口（trust）口有一个初始管理IP地址自己的笔记本和防火墙的E1口用一根交叉线连接起来，然后把本机的地址配置为192.168.1.X，之后我们就可以在本机上通过IE浏览器登陆的地址通过WEB界面对设备进行配置了。通过IE或与IEIE缺省IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙10使用缺省IP登录之后，出现安装向导：使用向导配置防火墙，请直接选择：Next，弹出下面的界面：《防火墙的登录用户认真考虑和仔细配置，保存好修改后的用户名和密码。注意1：Juniper防火墙接口的WEB管理特性默认只在E1接口WEB登陆其他WEB管理选项。注意2：如果Juniper防火墙上有配置，我们不知道目前E1接口的IP地址，我们可以先通过Console控制台用“getinterface”的命令看一下目前E1口的IP地址。注意防火墙OS5.0以上的版本支持MDI和MDIX自适应，也就是说我们的主机和E1口也可以用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法UP的情况，可以在Console控制台用“NS208->deletefileflash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。13SystemMostRecentAlarms/Events：系统最近的报警和通《告信息。选项进行详细的介绍。Configuration:Date/Time;Update;Admin;Auth;InfranetAuth;ReportSettings;CPUProtection;Network:Binding;DNS;Zones;Interfaces;DHCP;802.1X;Routing;NSRP;Vlan;Security:Screening;WebFiltering;DeepInspection;Antivirus;ALG;Policy:Policies;MCastPolicies;PolicyElements;VPNs:AutoKeyIKE;AutoKeyAdvanced;ManualKey;L2TP;MonitorStatus;Objects:Users;IPPools;Certificates;GPRS:NSGP(Overbilling);Reports:SystemLog;Counters;InterfaceBandwidth;Policies;Wizards:Policy;Route-basedVPN;AC-VPN;工作。16用CLI命令行设置：savesoftwarefromtftpx.x.x.xfilenameto2.5.2更新configfile配置文件用CLI命令行设置：文件导出进行备份，以及替换和更新目前的配置。注意单选框默认是点选在“MergetoCurrentConfigration”即和目前配置融合的位置，而我们一般是要完全替换目前的配置文件的，Current当进行配置替换的之后系统会自动重起使新配置生效。ROOT用户进行登陆是无法进行配置的替换操纵的，只有融合配置的选项，19替换目前配置的选项将会隐藏不可见，如下图所示：只有用根ROOT用户才能够创建管理员账户。可以进行ROOT用户账户用户名和密码的更改，但此账户不能被删用CLI命令行设置：查看目前的安全区设置1：Trust区包含ETH1口2：Untrust区包含ETH4口3：DMZ区包含ETH3口议使用。创建新的安全区：接口概要显示接口的IP地址信息，所属安全区，接口类型和链路的Layer3三层的。CLI:getinterface7.2.2设置interface接口的基本信息接口模式有路由模式和NAT模式：《址都不会做转换。由于路由模式比NAT模式更灵活，所以我们一般都会用路由模式。ETH1口默认是NATRoute路由模式。Serviceoptions服务选项：设置此接口是否允许被或TELNET等方式进行管理，默认情况下ETH1（内网口）的都是打开的，而ETH4口(外网口)的WEB和TELNET管理选项是关闭的，也就是说如果我们想从外网登陆ETH4口的IP进行管理，必须把相应的WEB或TELNET选项点中。最后的配置框可以保持默认值。CLI:setinterfaceredundent1zonetrustsetinterfaceredundent1ipX.X.X.X/Xsetinterfaceredundent1managetelnetsetinterfaceredundent1managewebsetinterfaceredundent1managepingsetinterfaceredundent1modenat(trustzone的接口都是natmode)7.2.3设置地址转换Juniper防火墙的地址转换有三种方式：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。由于MIP和VIP地址转换有一些规则限制，比如要转换外网发起流2配置MIP静态地址转换CLI:创建新的DIP地址池：扩展IP地址可以使用一个地址也可以用一个网段，推荐使用网段的方式。《但同一个DIP9X.2.18.1地址只能设置在E1或E2或E3口上，不能同时在多个接口上都设置9X.2.18.1。CLI:1、NAT-DIP带PAT功能配置接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24定义DIPsetinterfaceethernet3dip500定义策略setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permitsave2、NAT-DIP不带PAT功能接口setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet1nat31《setinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24DIPsetinterfaceethernet3dip6050fix-port策略setpolicyfromtrusttountrustanyanye-stocknatsrcdip-id6permitsave3、带有地址变换的NAT-Src接口setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24DIPsetinterfaceethernet3dip10shift-from1to005地址setaddresstrusthost11/32setaddresstrusthost22/32setaddresstrusthost33/3232《setaddresstrusthost44/32setaddresstrusthost55/32setgroupaddresstrustgroup1addhost1setgroupaddresstrustgroup1addhost2setgroupaddresstrustgroup1addhost3setgroupaddresstrustgroup1addhost4setgroupaddresstrustgroup1addhost5策略setpolicyfromtrusttountrustgroup1anyhttpnatsrcdip-id10permitsave332.7.4设置接口SecondaryIP地址查看防火墙路由表设置接口和下一跳网关地址都要选择和输入。CLI:setroutenextx.x.x.x2.8.1查看目前策略设置CLI:getpolicy(fromzonetozone)如果地址曾经输入过，做策略时我们仍在NewAddress栏中进行输入，点击确定的时候系统会出现重复IP地址条目的提示信息，但不影响策略的设置。在进行调试时建议打开LOG记录，看是否有数据流通过及地址转换情况。CLI:getservice创建一个新的服务TCP0655358080如果设置允许ICMP的PING，可以设置为：ICMP80看。《4.1冗余协议（NSRP）NSRP生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计NSRP架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。4.1.1、NSRP部署建议：基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式nsrp反复切换。当配置两组或两组以上的防火墙到同一组交换机上时，每组nsrp集群应设置不同的clusterIDclusterID号引发接口MAC地址冲突现象。防火墙nsrp集群建议采用接口监控方式，仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。在单台防火墙设备提供的session和带宽完全可以满足网络需求时，建议采用基于路由的Active-Passive主备模式，该模式组网结构清晰，便于维护和管理。设备运行时应保证HAHA心跳连接不会出现中断，建议配置HA43《NSRP些缺省参数。4.1.2NSRP常用维护命令getlicense-key查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。execnsrpsyncglobal-configcheck-sum检查双机配置命令是否同步execnsrpsyncglobal-configsave如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。getnsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。Execnsrpsyncrtoallfrompeer手动执行RTO信息同步，使双机保持会话信息一致execnsrpvsd-group0modebackup手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。execnsrpvsd-group0modeineligible手动进行主备状态切换setfailoveron/setfailoverauto启用并容许冗余接口自动切换execfailoverforce手动执行将主用端口切换为备用端口。execfailoverrevert手动执行将备用端口切换为主用端口。44《getalarmeventNSRP状态切换信息4.2、策略配置与优化（Policy）效率，提高可读性，降低维护难度。策略配置与维护需要注意地方有：试运行阶段最后一条策略定义为所有访问允许并作行后，可将最后一条定义为所有访问禁止并作log，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。顶部，将较为特殊的策略定位在不太特殊的策略上面。策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。另外，对于策略配置中的Count(流量统计)选项，如非必要建议在业务时段不使用。45《将多个单一策略合并到一条组合策略中。策略用于区段间单方向网络访问控制。如果源区段和目的区段不同，同并启用区段内阻断，则防火墙在区段内部策略表中执行策略查找。查全局策略表以查找匹配策略。MIP/VIP置MIP/VIP地址相关策略，MIP/VIP地址虽然可为其余区段调用，但由于其余区段的“any”地址并不包括全局区段地址，在定义策略时应加以注意，避免配置不生效的策略。策略变更控制。组织好策略规则后，应写上注释并及时更新。注释可的可能性就越小。如果防火墙有多个管理员，建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。4.3、攻击防御（Screen）Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Smurf，PingofDeath，LandAttack等，防火墙在抵御这些攻击时，通过专用ASIC芯片来进行处理，适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它46《选项，在开启这些防护功能前有几个因素需要考虑：抵御攻击的功能会占用防火墙部分CPU资源；自行开发的一些应用程序中，可能存在部分不规范的数据包格式；网络环境中可能存在非常规性设计。响正常网络处理的性能；如果自行开发的程序不规范，可能会被IP量被屏蔽问题。要想有效发挥NetscreenScreening攻击防御功能，需要对网络中采用以下顺序渐进实施防攻击选项：设置防范DDoSFlood攻击选项根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的选项上添加20％的余量作为阀值。如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层的攻击选项逐步选中。ActiveX选项。47《screening顶部GenerateAlarmswithoutDroppingPacket选项，确认攻击类型后再将该选项去除。在设置screeningCPU的利用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应建议正常时期在untrust区启用防flood用flood和应用层防护选项，在核心业务区不启用screening选项，仅在网络出现异常流量时再打开对应的防御功能。、长连接应用处理防火墙对每一个会话的连接保持时间是301适的timeout值，以满足长连接应用的要求。配置常连接应用需注意地方有：端与服务端之间传送心跳以维持会话），此时无需防火墙上设置timeout时间，使用默认配置即可。timeout值为36小48《时。应用通常在工作时间建立连接，这样可在下班后时间拆除连接。在配置timeout值时，特别提醒不要使用“neversession被大量消耗同时这些session4.4.2、不规范TCP应用处理正常TCP应用连接建立需要3次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似SYN没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为netscreen防火墙在默认情况下，对这种不严谨的TCP连接视为非法连接并将讯障碍时，通过debug分析是否是防火墙拒绝了不严谨的TCP包，确认后通过设置unsetflowtcp-syn-check的命令来使防火墙取消这种防范机制。4.4.3、VOIP应用处理Netscreen防火墙默认启用H.323应用代理机制，应用代理的作用讯结束后，再动态关闭这些临时端口。但由于H.323协议的复杂性VOIP系统互操49《作上存在兼容性问题，出现IP话机无法注册、语音连接无法建立、拨号时间较长等故障现象。解决方法两种：algh323disable直接关闭防火墙上的h.323应用代理功能，让H.323语音流量按常规应用连接方式进行通信。2、SetpolicyidXfromtrusttountrustanyanyh.323permitSetpolicyidXapplicationignore通过访问控制策略使H.323很多用户定制程序使用自定义的端口号，ignore参数使防火墙忽略号非21/20的FTP应用）附录：JUNIPER防火墙Casecase时需提供的信息)软件版本设备序列号网络结构如：Layer3A/P口型结构Getsession资源占用infoGetprecpu50《detailGetlogeventGetlogsystemGet通过tftp服务器收集后作为文件附件一并附上tech-support51《生。5.1Netscreen络异常和潜在故障隐患，以确保设备始终处于正常工作状态。日常维护过程中，需要重点检查以下几个关键信息：Session：如已使用的Session数达到或接近系统最大值，将导致新SessionSession的通讯虽不会造sessionSession资源才可供新建连接使用。维护建议：当Session资源正常使用至85％业务拓展。CPU:Netscreen是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC芯片完成，正常工作状态下防火墙CPU使用率应保持在50%以下，如出现CPU利用率过高情况需给予足够重视，应检查52《Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关，可通过正确设置screening对应选项进行防范。Memory:NetScreen分配”机制，空载时内存使用率为约50-60%，随着流量不断增长，内存的使用率应基本保持稳定。如果出现内存使用率高达90％时，需检查网络中是否存在攻击流量，并察看为debug分配的内存空间是否过大（getdbufinfo在业务使用高峰时段检查防火墙关键资源（如：Cpu、Session、Memory和接口流量）等使用情况，建立网络中业务流量对设备资依据。当session数量超过平常基准指标20％时，需检查sessionsessionflood攻击行为。当Cpu占用超过平常基准指标50％时，需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。防火墙健康检查信息表：软件版本设备型号设备状主用/备设备组网如：Layer3口设备用途XX区防火墙检查对象检查命令态用方式型A/P相关信息检查结备注53《果SessionGetsessionmemoryinterfaceGetlogevent机箱温度GetchassisLED指示灯LED检查SessionMemory参考基线接口流量业务类型54《机箱温度5.2配置System-ip地址，指定专用终端管理防火墙；更改netscreen账号和口令，不建议使用缺省的netscreen账号管理防火墙；设置两级管理员账号并定期变更口令；仅容许使用SSH和SSL方式登陆防火墙进行管理维护。完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策防火墙，保证业务正常使用。考依据。隐患。建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。55《集群中设备出现故障，网线故障及交换机故障时的路径保护切换。设备运行档案表设备序列软件版本设备状态号主用/备设备组网口型用A/P供应商联系方式变更内容负责人配置变更事件现象处理过程结果负责人事件处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火56《墙上打开debugNSRP发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位前不要关闭防火墙。5.3.1检查设备运行状态网络出现故障时，应快速判断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。跟踪防火墙对数据包处理情况置是否有误，在确认上述配置无误后，通过debug命令检查防火墙置有关。检查是否存在攻击流量Screen选项中启用对应防护措施来屏蔽攻击流量。检查NSRP工作状态使用getnsrp命令检查nsrp集群工作状态，如nsrp状态出现异常NSRP切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请57《不要断开HA心跳线缆。防火墙发生故障时处理方法如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为诊断。5.4、的总结能够避免很多网络故障再次发生。1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整患。3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。5.5、Netscreen的两个工具是debug和snoop，debug用于跟踪防火墙对指定包58《debug和snoop均需要消耗防火墙的cpu和memory应在第一时间关闭debug和snoop具的使用方法。Debug：跟踪防火墙对数据包的处理过程1.Setffiltersrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表,定义捕获包的范围2、cleardbuf清除防火墙内存中缓存的分析包3、debugflowbasic4、发送测试数据包或让小部分流量穿越防火墙5、undebugall关闭所有debug功能开启debug数据流跟踪功能6、getdbufstream检查防火墙对符合过滤条件数据包的分析结果7、unsetffilter清除防火墙debug过滤列表8、cleardbuf清除防火墙缓存的debug信息9、getdebug查看当前debug设置Snoop：捕获进出防火墙的数据包，与Sniffer嗅包软件功能类似。1.Snoopfilteripsrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表,定义捕获包的范围2、cleardbuf清除防火墙内存中缓存的分析包3、snoop开启snoop功能捕获数据包59《4、发送测试数据包或让小部分流量穿越防火墙5、snoopoff停止snoopdbstream检查防火墙对符合过滤条件数据包的分析结果7、snoopfilterdelete清除防火墙snoop过滤列表8、cleardbuf清除防火墙缓存的debug信息9、snoopinfo查看snoop设置例子：Flowdebug例子设置输出到console的buffersetconsoledbuf设置过滤列表：setffilter?如果设置多个过滤列表，各列表之间的是“或”的运算关系开启/关闭debug数据流的功能[debug/undebug]flowbasicDebug******997629.0:<Trust/trust>packetreceived[60]******ipid=5359(14ef),@03c9f550packetpassedsanitycheck.trust:05/4608->51/512,1(8/0)<Root>choseinterfacetrustasincomingnatif.60《searchrouteto(trust,05->51)invrtrust-vrforvsd-0/flag-0/ifp-null[Dest]2.route51->,tountrustrouted(51,)fromtrust(trustin0)tountrustpolicysearchfromzone2->zone1NoSWRPCrulematch,searchHWrulePermittedbypolicy9Nosrcxlatechooseinterfaceuntrustasoutgoingphyifnolooponifpuntrust.sessionapplicationtype0,nameNone,timeout60secservicelookupidentifiedservice0.Session(id:818)createdforfirstpak1routeto51arpentryfoundfor51nsp2wingprepared,readycachemacinthesession******997629.0:<Untrust/untrust>packetreceived[60]******ipid=29278(725e),@03c391d0packetpassedsanitycheck.untrust:51/512->05/4608,1(0/0)<Root>existingsessionfound.sesstoken361《flowgotsession.flowsessionid818postaddrxlation:51->05.2、IKE会话debugDebugIKEDebug）debugikebasic/debugikedetail===========================================IKEDebugExample,P1:Initiate===========================================IKE<08>******RecvkernelmsgIDX-0,TYPE-5******IKE<08>Phase1:Initiatednegotiationinmainmode.<09=>08>IKE<08>ConstructISAKMPheader.IKE<08>Construct[SA]forISAKMPIKE<08>ConstructNetScreen[VID]IKE<08>Constructcustom[VID]IKE<08>Xmit:[SA][VID][VID]IKE<08>******Recvpacketif<ethernet6>ofvsys62《<Root>******IKE<08>Recv:[SA][VID][VID]IKE<08>Process[VID]:IKE<08>Process[VID]:IKE<08>Process[SA]:IKE<08>ConstructISAKMPheader.IKE<08>Construct[KE]forISAKMPIKE<08>Construct[NONCE]IKE<08>Xmit:[KE][NONCE]IKE<08>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<08>Recv:[KE][NONCE]IKE<08>Process[KE]:IKE<08>Process[NONCE]:IKE<08>ConstructISAKMPheader.IKE<08>Construct[ID]forISAKMPIKE<08>Construct[HASH]IKE<08>Xmit*:[ID][HASH]IKE<08>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<08>Recv*:[ID][HASH]IKE<08>Process[ID]:63《IKE<08>Process[HASH]:IKE<08>Phase1:CompletedMainmodenegotiationwitha<28800>-secondlifetime.===================================IKEDebugExample,P2:Initiate===================================IKE<08>Phase2:InitiatedQuickModenegotiation.IKE<08>ConstructISAKMPheader.IKE<08>Construct[HASH]IKE<08>Construct[SA]forIPSECIKE<08>Construct[NONCE]forIPSecIKE<08>Construct[KE]forPFSIKE<08>Construct[ID]forPhase2IKE<08>Construct[ID]forPhase2IKE<08>Xmit*:[HASH][SA][NONCE][KE][ID][ID]IKE<08>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<08>Recv*:[HASH][SA][NONCE][KE][ID][ID]IKE<08>Process[SA]:IKE<08>Process[KE]:IKE<08>Process[NONCE]:64《IKE<08>Process[ID]:IKE<08>Process[ID]:IKE<08>Phase2msg-id<75702632>:CompletedQuickModenegotiationwithSPI<9234d791>,tunnelID<1>,andlifetime<3600>seconds/<0>KB.IKE<08>ConstructISAKMPheader.IKE<08>Construct[HASH]inQMIKE<08>Xmit*:[HASH]=====================================IKEDebugExample,P1:Responser=====================================IKE<09>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<09>Recv:[SA][VID][VID]IKE<09>Process[VID]:IKE<09>Process[VID]:IKE<09>Process[SA]:IKE<09>ConstructISAKMPheader.IKE<09>Construct[SA]forISAKMPIKE<09>ConstructNetScreen[VID]IKE<09>Constructcustom[VID]65《IKE<09>Xmit:[SA][VID][VID]IKE<09>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<09>Recv:[KE][NONCE]IKE<09>Process[KE]:IKE<09>Process[NONCE]:IKE<09>ConstructISAKMPheader.IKE<09>Construct[KE]forISAKMPIKE<09>Construct[NONCE]IKE<09>Xmit:[KE][NONCE]IKE<09>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<09>Recv*:[ID][HASH]IKE<09>Process[ID]:IKE<09>Process[HASH]:IKE<09>ConstructISAKMPheader.IKE<09>Construct[ID]forISAKMPIKE<09>Construct[HASH]IKE<09>Xmit*:[ID][HASH]IKE<09>Phase1:CompletedMainmodenegotiationwitha<28800>-secondlifetime.======================================66《IKEDebugExample,P2:Responser======================================IKE<09>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<09>Recv*:[HASH][SA][NONCE][KE][ID][ID]IKE<09>Process[SA]:IKE<09>Process[KE]:IKE<09>Process[NONCE]:IKE<09>Process[ID]:IKE<09>Process[ID]:IKE<09>ConstructISAKMPheader.IKE<09>Construct[HASH]IKE<09>Construct[SA]forIPSECIKE<09>Construct[NONCE]forIPSecIKE<09>Construct[KE]forPFSIKE<09>Construct[ID]forPhase2IKE<09>Construct[ID]forPhase2IKE<09>Xmit*:[HASH][SA][NONCE][KE][ID][ID]IKE<09>******Recvpacketif<ethernet6>ofvsys<Root>******IKE<09>Recv*:[HASH]IKE<09>Phase2