Juniper_SSG-5(NS-5GT)vpn防火墻配置手冊

1、Juniper SSG-5(NS-5GT防火墻配置手冊初始化設置 (2Internet網(wǎng)絡設置 (6一般策略設置 (16VPN連接設置 (28初始化設置1.將防火墻設備通電,連接網(wǎng)線從防火墻e02口連接到電腦網(wǎng)卡。2.電腦本地連接設置靜態(tài)IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以,子網(wǎng)掩碼255.255.255.0,默認網(wǎng)關192.168.1.1,如下圖: 3.設置好IP地址后,測試連通,在命令行ping 192.168.1.1,如下圖: 4.從IE瀏覽器登陸防火墻web頁面,在地址欄輸入192.168.1.1,如下圖向?qū)нx擇最下面No, skip,然后點擊

2、下面的Next: 5.在登錄頁面輸入用戶名,密碼,初始均為netscreen,如下圖: 6.登陸到web管理頁面,選擇Configuration Date/Time,然后點擊中間右上角Sync Clock With Client選項,如下圖: 7.選擇Interfaces List,在頁面中間點擊bgroup0最右側的Edit,如下圖: 8.此端口為Trust類型端口,建議IP設置選擇Static IP,IP Address輸入規(guī)劃好的本地內(nèi)網(wǎng)IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。之后勾選Web UI,Telnet,SSH, SNMP,SSL

3、,Ping。如下圖: Internet網(wǎng)絡設置1.修改本地IP地址為本地內(nèi)網(wǎng)IP地址,如下圖: 2.從IE瀏覽器打開防火墻web頁面,輸入用戶名密碼登陸,如下圖: 3.選擇Interfaces List,點擊頁面中ethernet0/0最右側的Edit選項,如下圖: 4.此端口為Untrust類型端口,設置IP地址有以下三種方法:(根據(jù)ISP提供的網(wǎng)絡服務類型選擇A.第一種設置IP地址是通過DHCP端獲取IP地址,如下圖: B.第二種設置IP地址的方法是通過PPPoE撥號連接獲取IP,如下圖,然后選擇Create new pppoe setting, 在如下圖輸入本地ADSL pppoe撥號賬

4、號,PPPoE Instance輸入名稱,Bound to Interface選擇ethernet0/0,Username和Password輸入ADSL賬號密碼,之后OK,如下圖: PPPoE撥號設置完畢之后,點擊Connect,如下圖: 回到Interface List,可以看到此撥號連接的連接狀態(tài),如下圖:ethernet0/0右側PPPoE一欄有一個紅叉,表示此連接已經(jīng)設置但未連接成功,如連接成功會顯示綠勾。 C.第三種設置IP地址方法是設置固定IP地址,如下圖:選擇Static IP,輸入IP 地址和Manage IP:10.10.10.1/30,勾選Web UI,Telnet,SSH

5、,然后點OK。 設置之后顯示如下圖: 設置靜態(tài)IP地址之后,需要設置一個路由下一跳才能正常使用,選擇Routing Destination,點擊右上角New,如下圖: IP Address/Newmask設置0.0.0.0/0,Next Hop選擇Gateway,Interface選擇ethernet0/0,Gateway IP Address輸入ISP網(wǎng)關地址,此處例如為:10.10.10.2,如下圖: 設置完路由如下圖: 5.設置DNS服務器(如果是DHCP或PPPoE可能無需設置此項,選擇Network DNS Host,在如下圖可以輸入主機名稱和DNS服務器地址。 6.設置本地內(nèi)網(wǎng)DH

6、CP功能,選擇Network DHCP,如下圖:點擊bgroup0右側的Edit 7.選擇DHCP Server,其他默認即可,如下圖: 8.設置之后顯示如下圖,還未分配地址池, 9.再選擇Network DHCP,點擊Address,出現(xiàn)如下圖,輸入分配地址池: 10.設置完成之后如下圖: 一般策略設置1.首先可以指定IP地址,根據(jù)IP地址作策略,選擇Policy Policy Elements Addresses List,然后在中間頁面選擇Trust,然后點擊New,如下圖: 2.在Address Name為指定IP地址設置識別名稱,然后在下面輸入具體IP,如下圖: 3.設置之后如下圖:

7、 4.再設置一個指定IP地址,如下圖: 5.設置之后兩個都可以顯示出來,如下圖: 6.設置多個指定IP組,選擇Policy Policy Elements Addresses Groups,如下圖:中間頁面的Zone選擇Trust,點擊右側的New。 7.為此IP組起識別名稱,下面將需要加入組的IP添加到組里,點OK,如下圖: 8.根據(jù)需求可以自定義服務,選擇Policy Policy Elements Services Customs,如下圖:點擊右側New 9.輸入此自定義服務的識別名稱,然后下面可以選擇服務類型和服務端口,如下圖: 10.設置完之后如下圖: 11.定制多個服務組,選擇Po

8、licy Policy Elements Services Groups,點擊頁面中間右側的New,如下圖: 12.為此定制服務組設置識別名稱,將需要的服務添加進入,點擊OK。 13.設置完成之后如下圖: 14.策略設置,此處可以直接使用之前設置的指定IP地址(組,自定義服務(組。選擇Policy Polices,如下圖:選擇From Untrust to Trust(可根據(jù)需要修改,點擊右側New, 15.如也可以設置From Trust to Untrust,如下圖: 16.策略設置頁面如下圖,設置名稱,選擇源地址和目的地址,服務類型等,最后選擇允許還是拒絕。 18.也可以設置一個全拒絕的

9、策略,如下圖: 20.可以點擊ID為1的策略右側的雙箭頭符號,出現(xiàn)腳本提示點確定, 21.這樣可以把ID為1的策略放到下面,如下圖策略含義為從Trust口到Untrust口的流量中,來自IT組的IP地址到任意目的地,服務類型屬于CTG-APP中的流量允許通過,其他所有流量都拒絕。 22.可以為策略設置時間表,選擇Policy Schedules,如下圖:點擊New 23.輸入時間表名稱worktime,設置周期時間。 24.設置之后如下圖: VPN連接設置設置VPN網(wǎng)絡連接,根據(jù)具體情況有多種方法可選:A.方法一,通訊雙方端口均為靜態(tài)IP地址,配置如下:1.設置對端網(wǎng)關信息,和本地Local

10、ID(可選,如下圖:IP地址為對端公網(wǎng)IP,之后點擊Advanced 2.Preshared Key輸入一串共享密鑰,對端需要設置同樣密鑰才可成功連接,其他默認即可,點擊下面OK 3.設置雙端IKE VPN端口認證,選擇VPNs AutoKey IKE,輸入VPN名稱,之后Predefined選擇已經(jīng)設置好的Gateway,之后點Advanced,里面設置logging即可,之后點OK。 4.設置完成之后顯示如下圖: 5.設置VPN連接策略,選擇Policy Polices,From Trust to Untrust,點擊右側New,之后在如下頁面輸入源地址,目的地址,服務類型,Action選

11、擇Tunnel,Tunnel VPN選擇設置好的VPN IKE,下面勾選Modify matching bidirectional VPN policy,勾選Logging,勾選Position at Top,之后點Advanced 6.在下面勾選Counting,其他默認,點擊OK, 7.設置完策略如下圖: B.方法二,通訊雙方有一個端口為靜態(tài)IP地址,另一個端口IP地址為動態(tài)。1.如果本地IP為ADSL,IP地址會發(fā)生變化,則需要使用Local ID設置Gateway,選擇VPNs AutoKey Advanced Gateway,輸入對端公網(wǎng)IP地址,選擇ACVPN-Dynamic, L

12、ocal ID輸入本地名稱(如bj 2.則對端設置Gateway時,需要如下圖設置,不輸入對端IP地址,選擇Dynamic IP Address,Peer ID輸入對端Local ID(如bj。之后步驟同方法一中的2-7步驟。 1.選擇Wizards Router-based,出現(xiàn)如下圖向?qū)ы撁?選擇源端口和目的端口類型 2.選擇Make new tunnel interface,選擇ethernet0/0 (trust-vr,選擇Next 3.選擇LAN-to-LAN,如下圖: 4.根據(jù)通訊雙方端口類型,如靜態(tài),動態(tài)IP地址,選擇下面類型,如Local Static IP Remote St

13、atic IP 6.選擇通道加密類型,之后下面輸入通訊密鑰,雙方端口要求一致 9.根據(jù)需要可以設置帶寬限制,默認為不做限制 11.向?qū)гO置完畢,明細如下表: 12.配置確認。點擊Finish完成。 13.根據(jù)向?qū)ё鐾闢PN策略后,可以在路由表中看到自動添加了一條路由,選擇Network Routing Destination,Interface為tunnel 1,說明此為向?qū)е谱鞯腣PN鏈路。 分類:networkP2TP VPN Client to P2TP VPN Gateway configurationP2TP VPN Client to P2TP VPN Gateway config

14、urationnetscreen 5gt 靜態(tài)ip,在xp下測試成功!P2TP VPN Gateway1. 創(chuàng)建LAN_Address 備注:創(chuàng)建一個要訪問的LAN_Address。(vpn server site LAN for vpn client access.2. 創(chuàng)建一個撥號vpn客戶端地址段 備注:不能與LAN_Address相同子網(wǎng)段,但Zone要同屬一個Zone。(vpn client using this address to access vpn server LAN3. 創(chuàng)建一個IP地址池 備注:創(chuàng)建撥號用戶獨立子網(wǎng)段的IP地址池分配。4. 創(chuàng)建一個用戶,關聯(lián)IP地址池,

15、選擇L2TP Remote,并添加user password。 備注:上面的IP Pool:一定要選擇。5. 創(chuàng)建一個vpn用戶組,并把相關應用l2tp協(xié)議vpn連接的用戶添加到左邊作組成員。 6. 修改L2TP隧道的默認設置,ip pool關聯(lián),添加當?shù)鼐€路的isp提供的dns等。 7. 在tunnel頁面選擇第3步創(chuàng)建的用戶組作為撥號組,并選擇之前設定的外網(wǎng)口,關聯(lián)第1步設定的ip地址池。 8. 創(chuàng)建一條策略from untrust to trust,源地址為Dial-Up VPN,目的地址為指定的IP地址:192.168.2.4/32,并在Action修改為:tunnel,L2TP:vpn_test,然后,在Position at top!Vpn Client config: 使用網(wǎng)絡連接建立 vpn 撥號連接 vpn server 輸入 netscreen 設備 untrust 接口地址。然后 修改 18. 點擊“屬性” ，選擇“安全”選項；選取“高級” ，點擊“設置” ； 19. 在數(shù)據(jù)加密選取 “可選加密 （沒有加密也可以連接） 允許這些協(xié)議， ， 質(zhì)詢握手身份驗證協(xié)議 （