SRXWebUI配置說明材料

.目 錄WebUI配置前準(zhǔn)備工作.....................................................................................................................5一、設(shè)備系統(tǒng)配置.......................................................................................................................71.接口配置（靜態(tài)ip）..........................................................................................................7（1）創(chuàng)建安全Zone....................................................................................................7（2）綁定相應(yīng)接口......................................................................................................92.接口配置（pppoe）..........................................................................錯誤!未定義書簽。（1）封裝端口為ppp-over-ether...........................................錯誤!未定義書簽。（2）ppp-options配置.............................................................錯誤!未定義書簽。（3）pppoe-options配置........................................................錯誤!未定義書簽。（4）Family屬性配置.................................................................錯誤!未定義書簽。二、交換機vlan模式配置.......................................................................................................121.創(chuàng)建VLAN（RVI）..........................................................................................................122.創(chuàng)建安全Zone并綁定相應(yīng)RVI.....................................................................................15三、NAT及其策略配置............................................................................................................161.源地址NAT........................................................................................................................16（1）基于接口的源地址NAT...................................................................................161)創(chuàng)建NAT規(guī)則..................................................................................................162)創(chuàng)建策略.............................................................................................................18（2）基于Pool的源地址NAT................................................................................191)創(chuàng)建NAT規(guī)則..................................................................................................192)Proxyarp...........................................................................................................22.3)創(chuàng)建策略.............................................................................................................222.目的地址NAT....................................................................................................................23（1）創(chuàng)建NAT規(guī)則..................................................................................................23（2）創(chuàng)建策略.............................................................................................................271)創(chuàng)建地址列表....................................................................................................272)創(chuàng)建服務(wù)列表....................................................................................................273)創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)...................................................................283.StaticNAT..........................................................................................................................30（1）創(chuàng)建NAT規(guī)則..................................................................................................30（2）創(chuàng)建策略.............................................................................................................321)創(chuàng)建地址列表....................................................................................................322)創(chuàng)建服務(wù)列表....................................................................................................323)創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)...................................................................33四、IPSecVPN配置................................................................................................................361.Site-to-SiteVPN..............................................................................................................36（1）基于策略的IPSecVPN（main模式）.......................................................361)基本配置.............................................................................................................362)Phase1配置.....................................................................................................38A.創(chuàng)建phase1proposal..........................................................................38B.創(chuàng)建IKEPolicy..........................................................................................39C.創(chuàng)建Gateway............................................................................................413)Phase2配置.....................................................................................................42.A. 創(chuàng)建phase2proposal 42B. 創(chuàng)建IPSecPolicy 44C. 創(chuàng)建Autokey 454) 策略 46（2） 基于策略的IPSecVPN（aggressive模式） 47感謝閱讀1) 基本配置 482) Phase1配置 49A. 創(chuàng)建phase1proposal 49B. 創(chuàng)建IKEPolicy 51C. 創(chuàng)建Gateway 523) Phase2配置 55A. 創(chuàng)建phase2proposal 55B. 創(chuàng)建IPSecPolicy 57C. 創(chuàng)建Autokey 584) 策略 59（3） 基于路由的IPSecVPN（VPNWizards配置方式） 61謝謝閱讀1) 基本配置 612) 使用J-Web的VPNWizards配置 62謝謝閱讀2. DynamicVPN 72（1） 基本配置 73（2） Dynamicvpn配置步驟 741) 典型配置方式 74.A. 定義VPN撥號用戶及地址池 74B. 定義IPSecVPN 77C. 將撥號用戶與VPN相關(guān)聯(lián) 83D. 策略 852) VPNWizards配置方式 85（3） 登錄 92.WebUI配置前準(zhǔn)備工作SRX系列設(shè)備默認(rèn)是沒有開啟WEB服務(wù)的，因此我們需要通過console進(jìn)入CLI，給精品文檔放心下載設(shè)備配置一個管理IP，并開啟http服務(wù)，以便于PC可以通過web界面登錄至SRX進(jìn)行感謝閱讀配置管理。命令行配置參考如下：setsystemservicesweb-managementhttp感謝閱讀setinterfacesge-0/0/15unit0familyinetaddress/24感謝閱讀setsecurityzonesfunctional-zonemanagementinterfacesge-0/0/15.0感謝閱讀set security zones functional-zone management host-inbound-traffic謝謝閱讀system-servicesall連接PC至SRX的ge-0/0/15口，配置PC網(wǎng)卡為/24網(wǎng)段，打開IE瀏感謝閱讀覽器，輸入，出現(xiàn)如下登錄界面謝謝閱讀.輸入用戶名、密碼，點擊“LogIn”即可。點擊“Dashboard”，可觀察當(dāng)前設(shè)備的系統(tǒng)狀態(tài)、告警信息、資源利用率等，如下圖。感謝閱讀.一、 設(shè)備系統(tǒng)配置接口配置（靜態(tài)ip）拓?fù)淙缦拢?）創(chuàng)建安全Zone根據(jù)拓?fù)?，我們需要把Ge-0/0/4綁定至UntrustZone，Ge-0/0/3綁定至TrustZone，謝謝閱讀那么我們就需要創(chuàng)建2個安全Zone，分別為UntrustZone和TrustZone，并綁定相應(yīng)端感謝閱讀口。點擊“Security”>“Zones/Screens”，然后點擊“Add”，精品文檔放心下載.在當(dāng)前彈出窗口的“Zonename”文本框中，填入“untrust”，并保持“Zonetype”感謝閱讀默認(rèn)的“security”類型不變，如下圖所示為便于測試，我們還需要將ping服務(wù)打開，點擊“Hostinboundtraffic-Zone”，精品文檔放心下載在“Services”欄中選擇“Ping”，然后點擊“OK”即可。精品文檔放心下載.同樣，我們按照相同步驟再添加一個trustzone，并開啟相關(guān)services。感謝閱讀命令行配置參考如下：setsecurityzonessecurity-zoneuntrust感謝閱讀setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-services感謝閱讀pingsetsecurityzonessecurity-zonetrust謝謝閱讀setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall感謝閱讀（2）綁定相應(yīng)接口點擊“Interfaces”，在端口列表中選中“Ge-0/0/3”，然后點擊“Add”>“Logical感謝閱讀Interface”.在彈出的端口配置窗口中，配置如下信息：然后，我們再按照相同步驟，配置“Ge-0/0/4”端口的相應(yīng)信息。謝謝閱讀.命令行配置參考如下：setinterfacesge-0/0/3unit0familyinetaddress/24感謝閱讀setinterfacesge-0/0/4unit0familyinetaddress/24謝謝閱讀setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/3.0精品文檔放心下載setsecurityzonessecurity-zonetrustinterfacesge-0/0/4.0精品文檔放心下載注：在Juniper的ScreenOS系列防火墻中，必須先創(chuàng)建Zone，然后才能配置端口，精品文檔放心下載而在SRX系列中，并不是必須遵循這一順序的，我們可以先創(chuàng)建Zone再配置端口，也可感謝閱讀以先配置端口再創(chuàng)建Zone。.1、交換機vlan模式配置拓?fù)淙缦氯缦聢D所示，我們需要創(chuàng)建2個Vlan，將Ge-0/0/1和Ge-0/0/2綁定至Vlan100，精品文檔放心下載Ge-0/0/3和Ge-0/0/4綁定至Vlan10，并將這2個Vlan分別綁定至Untrustzone和謝謝閱讀Trustzone。1.創(chuàng)建VLAN（RVI）點擊“Switching”>“VLAN”，然后點擊“Add”創(chuàng)建一個Vlan，謝謝閱讀在彈出窗口中，填入VLANName及VLANID，如下圖所示：精品文檔放心下載.然后在“Ports”選項欄，點擊“Add…”，將Ge-0/0/1和Ge-0/0/2綁定至該Vlan，謝謝閱讀如下圖所示：在“IPaddress”選項欄中，填寫IP如下：精品文檔放心下載.完成以上配置后，點擊“OK”，SRX將自動給我們創(chuàng)建的VALN100分配一個unit值謝謝閱讀（從0開始分配），該值在web界面上不可修改，如下圖所示：謝謝閱讀完成以上配置后，我們再按照相同步驟創(chuàng)建一個Vlan10。（略）精品文檔放心下載.注：在Web界面的端口列表中，不會顯示Vlan端口及相關(guān)信息，所以無法對vlan端謝謝閱讀口的unit值進(jìn)行修改，如果需要修改，只能通過CLI進(jìn)行操作。謝謝閱讀創(chuàng)建安全Zone并綁定相應(yīng)RVI點擊“Security”>“Zones/Screens”，然后點擊“Add”，在彈出窗口中，創(chuàng)建一個謝謝閱讀UntrustZone，并將vlan.0綁定至該zone，如下圖所示，感謝閱讀為便于測試，建議在Hostinboundtraffic選項欄中，將ping打開。感謝閱讀按照相同步驟，再創(chuàng)建一個Trustzone，并將vlan.1綁定至trustzone，如下圖感謝閱讀.2、NAT及其策略配置源地址NAT（1）基于接口的源地址NAT拓?fù)淙缦聞?chuàng)建NAT規(guī)則點擊“NAT”>“SourceNAT”，在“SourceRuleSet”當(dāng)前界面下，點擊“Add”感謝閱讀.創(chuàng)建一條RuleSet，如下圖在“AddRuleSet”彈出窗口中，定義“RuleSetName”名為nat-src-int，并選擇精品文檔放心下載FromZone為trust，ToZone為untrust，然后點擊“Add”創(chuàng)建一條“Rule”，感謝閱讀在“AddRule”彈出窗口中，給該rule命名為“1”，然后定義“SoureAddress”為感謝閱讀/0，“DestinationAddress”為/0，并在“Action”選項欄中選擇“DoSource精品文檔放心下載NATWithEgressInterfaceAddress”，其余保持默認(rèn)，點擊“OK”，即可。精品文檔放心下載.創(chuàng)建策略點擊“Security”>“Policy”>“FWPolicies”，然后點擊“Add”創(chuàng)建一條策略，謝謝閱讀在策略彈出窗口中，設(shè)置如下參數(shù)：PolicyName：1FromZone：trustToZone：untrustSourceAddress：any-ipv4DestinaAddress：any-ipv4Application：anyPolicyAction：permit.如下圖所示，設(shè)置完成后，點擊“OK”即可。（2）基于Pool的源地址NAT拓?fù)淙缦聞?chuàng)建NAT規(guī)則配置基于Pool的源地址轉(zhuǎn)換，需要創(chuàng)建一個地址池（Pool）。點擊“NAT”>“Source謝謝閱讀NAT”，在“SourceNATPool”界面下，點擊“Add”創(chuàng)建一個NAT地址池，如下圖謝謝閱讀.定義“PoolName”名為nat-pool，“PoolAddresses”為0-0，精品文檔放心下載其余保持默認(rèn)，點擊“OK”即可。然后再回到“SourceRuleSet”界面，點擊“Add”創(chuàng)建一條RuleSet，如下圖感謝閱讀在“AddRuleSet”彈出窗口中，定義“RuleSetName”名為nat-src-pool，并選謝謝閱讀.FromZone為trust，ToZone為untrust，然后點擊“Add”創(chuàng)建一條“Rule”，感謝閱讀在“AddRule”彈出窗口中，給該rule命名為“1”，然后定義“SoureAddress”為精品文檔放心下載/0，“DestinationAddress”為/0，并在“Action”選項欄中選擇“DoSource感謝閱讀NATWithPool”，并在下拉菜單中選擇之前我們創(chuàng)建的“nat-pool”，其余保持默認(rèn)，點感謝閱讀擊“OK”，即可。注：在CLI中，需要首先創(chuàng)建一個Pool，然后再創(chuàng)建NAT規(guī)則并調(diào)用該Pool；而在精品文檔放心下載.WebUI中，我們即可以先創(chuàng)建Pool，再創(chuàng)建NAT規(guī)則，也可以先創(chuàng)建NAT規(guī)則，然后在精品文檔放心下載“AddRule”彈出窗口中的“Action”選項欄中，通過點擊“AddNewPool”來創(chuàng)建Pool。精品文檔放心下載可見，SRX的WebUI更加靈活。這一特性同樣適用于目的地址NAT。精品文檔放心下載2)ProxyarpSRX多了一個proxy-arp的概念，如果定義的IPPool（可用于源或目的地址轉(zhuǎn)換）與謝謝閱讀接口IP在同一子網(wǎng)時，則需配置SRX對這個Pool內(nèi)的地址提供ARP代理功能，這樣對端感謝閱讀設(shè)備能夠解析到IPPool地址的MAC地址（使用接口MAC地址響應(yīng)對方），以便于返回報謝謝閱讀文能夠送達(dá)SRX。點擊“NAT”>“ProxyARP”，然后點擊“Add”添加ARP代理，在彈出窗口中，選謝謝閱讀Interface為ge-0/0/4.0，Addresses為0To0，完成后點擊“OK”感謝閱讀即可。如下圖所示：創(chuàng)建策略該策略配置與基于接口的源地址NAT策略配置一樣，此處WebUI配置略。感謝閱讀命令行配置參考如下：.set security policies from-zone trust to-zone untrust policy 1 match謝謝閱讀source-addressanyset security policies from-zone trust to-zone untrust policy 1 match謝謝閱讀destination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplication感謝閱讀anysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit感謝閱讀目的地址NAT拓?fù)淙缦拢海?）創(chuàng)建NAT規(guī)則點擊“NAT”>“DestinationNAT”，在“DestinationRuleSet”當(dāng)前界面下，點擊謝謝閱讀“Add”創(chuàng)建一條RuleSet，如下圖在“AddRuleSet”彈出窗口中，定義“RuleSetName”名為nat-dst，并選擇From謝謝閱讀Zone為untrust，然后點擊“Add”創(chuàng)建一條“Rule”，謝謝閱讀.在“AddRule”彈出窗口中，給該rule命名為“1”，然后定義“SoureAddress”為精品文檔放心下載/0，“DestinationAddress”為，“Port”為8080，并在“Action”選項感謝閱讀欄中選擇“DoDestinationNATWithPool”，點擊“AddNewPool”，如下圖感謝閱讀.注：在SRX系列設(shè)備上做目的地址NAT時，“DestinationAddress”處填寫的是真實精品文檔放心下載IP，即hostaddress，而ScreenOS系列防火墻在做MIP時，填寫的是映射地址，請注意感謝閱讀區(qū)分開來。在“AddDestinationPool”彈出窗口中，定義“PoolName”名為nat-pool，填寫謝謝閱讀PoolIP為，Port為8080，其余保持默認(rèn)，點擊“OK”即可。精品文檔放心下載回到“AddRule”窗口，在下拉菜單中選中剛才我們建立的“nat-pool”，然后依次點感謝閱讀.擊“OK”。命令行配置參考如下：setsecuritynatdestinationpoolnat-pooladdress/32謝謝閱讀setsecuritynatdestinationpoolnat-pooladdressport8080謝謝閱讀setsecuritynatdestinationrule-setnat-dstfromzoneuntrust精品文檔放心下載setsecuritynatdestinationrule-setnat-dstrule1matchsource-address感謝閱讀/0setsecuritynatdestinationrule-setnat-dstrule1matchdestination-address謝謝閱讀/32setsecuritynatdestinationrule-setnat-dstrule1matchdestination-port8080謝謝閱讀setsecuritynatdestinationrule-setnat-dstrule1thendestination-natpool感謝閱讀nat-pool.（2）創(chuàng)建策略創(chuàng)建地址列表首先，我們需要創(chuàng)建一條address，用于策略所需的目的地址。點擊“Security”>“Policy感謝閱讀Elements”>“AddressBook”，然后點擊“Add”，在彈出的“AddAddress”窗口中，感謝閱讀完成如下配置，然后點擊“OK”即可。命令行配置參考如下：setsecurityzonessecurity-zonetrustaddress-bookaddresspc-2/32謝謝閱讀創(chuàng)建服務(wù)列表然后，我們還需要創(chuàng)建一條application，用于策略所需的目的端口。點擊“Security”>精品文檔放心下載“PolicyElements”>“Applications”，然后點擊“Add”，在彈出的“AddanApplication”感謝閱讀窗口中，完成如下配置，然后點擊“OK”即可。.命令行配置參考如下：setapplicationsapplicationtcp-8080protocoltcp感謝閱讀setapplicationsapplicationtcp-8080source-port0-65535感謝閱讀setapplicationsapplicationtcp-8080destination-port8080-8080謝謝閱讀setapplicationsapplicationtcp-8080inactivity-timeout1800感謝閱讀創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)點擊“Security”>“Policy”>“FWPolicies”，然后點擊“Add”創(chuàng)建一條從untrust精品文檔放心下載trust的策略，在策略彈出窗口中，設(shè)置如下參數(shù)：謝謝閱讀PolicyName：1FromZone： untrustToZone： trustSourceAddress： anyDestinaAddress： pc-2Application： tcp-8080.PolicyAction： permit如下圖所示，設(shè)置完成后，點擊“OK”即可命令行配置參考如下：set security policies from-zone untrust to-zone trust policy 1 match感謝閱讀source-addressanyset security policies from-zone untrust to-zone trust policy 1 match謝謝閱讀destination-addresspc-2setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplication精品文檔放心下載tcp-8080setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit感謝閱讀.3.StaticNAT拓?fù)淙缦拢?）創(chuàng)建NAT規(guī)則點擊“NAT”>“StaticNAT”，點擊“Add”創(chuàng)建一條RuleSet。在“AddRuleSet”感謝閱讀彈出窗口中定義“RuleSetName”為nat-static，“FromZone”選擇untrust，完成后感謝閱讀再點擊“Add”添加一條Rule，如下圖在“AddRule”彈出窗口中，完成如下參數(shù)的配置，然后依次點擊“OK”即可。感謝閱讀.RuleName：1DestinationAddress：StaticPrefix：命令行配置參考如下：setsecuritynatstaticrule-setnat-staticfromzoneuntrust精品文檔放心下載setsecuritynatstaticrule-setnat-staticrule1matchdestination-address感謝閱讀/32setsecuritynatstaticrule-setnat-staticrule1thenstatic-natprefix/32精品文檔放心下載注：在SRX系列設(shè)備上做StaticNAT時，在“destinationaddress”中，我們填寫的感謝閱讀是映射地址，在staticprefix中，我們填寫的是真實地址，即hostaddress。此處與ScreenOS精品文檔放心下載系列防火墻配置類似。.（2）創(chuàng)建策略創(chuàng)建地址列表首先，我們需要創(chuàng)建一條address，用于策略所需的目的地址。點擊“Security”>“Policy謝謝閱讀Elements”>“AddressBook”，然后點擊“Add”，在彈出的“AddAddress”窗口中，感謝閱讀完成如下配置，然后點擊“OK”即可。命令行配置參考如下：setsecurityzonessecurity-zonetrustaddress-bookaddresspc-3/32精品文檔放心下載創(chuàng)建服務(wù)列表然后，我們還需要創(chuàng)建一條application，用于策略所需的目的端口。點擊“Security”>謝謝閱讀“PolicyElements”>“Applications”，然后點擊“Add”，在彈出的“AddanApplication”精品文檔放心下載窗口中，完成如下配置，然后點擊“OK”即可。.命令行配置參考如下：setapplicationsapplicationtcp-8080protocoltcp感謝閱讀setapplicationsapplicationtcp-8080source-port0-65535謝謝閱讀setapplicationsapplicationtcp-8080destination-port8080-8080感謝閱讀setapplicationsapplicationtcp-8080inactivity-timeout1800精品文檔放心下載創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)點擊“Security”>“Policy”>“FWPolicies”，然后點擊“Add”創(chuàng)建一條從untrust精品文檔放心下載trust的策略，在策略彈出窗口中，設(shè)置如下參數(shù)：謝謝閱讀PolicyName：1FromZone： untrustToZone： trustSourceAddress： any-ipv4DestinaAddress： pc-3Application： tcp-8080.PolicyAction： permit如下圖所示，設(shè)置完成后，點擊“OK”即可然后，我們再添加一條從trust到untrust的策略，如下圖所示，設(shè)置完成后點擊“OK”精品文檔放心下載即可。.命令行配置參考如下：set security policies from-zone untrust to-zone trust policy 1 match謝謝閱讀source-addressanyset security policies from-zone untrust to-zone trust policy 1 match精品文檔放心下載destination-addresspc-3setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplication謝謝閱讀tcp-8080setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit感謝閱讀set security policies from-zone trust to-zone untrust policy 2 match精品文檔放心下載source-addresspc-3set security policies from-zone trust to-zone untrust policy 2 match精品文檔放心下載.destination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchapplication謝謝閱讀anysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2thenpermit感謝閱讀3、IPSecVPN配置1.Site-to-SiteVPN（1）基于策略的IPSecVPN（main模式）精品文檔放心下載拓?fù)淙缦禄九渲檬紫劝凑胀負(fù)浣o2臺SRX設(shè)備配置zone、interfaces及路由等相關(guān)信息。WebUI配謝謝閱讀.置步驟請參考本文其他相關(guān)章節(jié)。命令行配置參考如下：SRX-1：setinterfacesge-0/0/0unit0familyinetaddress/24感謝閱讀setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0感謝閱讀setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-services精品文檔放心下載allsetinterfacesge-0/0/3unit0familyinetaddress/24感謝閱讀setsecurityzonessecurity-zonetrustinterfacesge-0/0/3.0感謝閱讀setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall精品文檔放心下載setrouting-optionsstaticroute/0next-hop謝謝閱讀SRX-2：setinterfacesge-0/0/0unit0familyinetaddress/24精品文檔放心下載setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0精品文檔放心下載setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-services謝謝閱讀allsetinterfacesge-0/0/3unit0familyinetaddress/24精品文檔放心下載setsecurityzonessecurity-zonetrustinterfacesge-0/0/3.0謝謝閱讀setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall謝謝閱讀setrouting-optionsstaticroute/0next-hop感謝閱讀.2)Phase1配置使用IKE配置IPSec隧道的Phase1，應(yīng)該先創(chuàng)建proposal（如果使用預(yù)定義的感謝閱讀proposal，則此步驟可略過），然后是ikepolicy，最后是gateway。感謝閱讀A.創(chuàng)建phase1proposal點擊“IPSecVPN”>“AutoTunnel”>“PhaseI”，在當(dāng)前窗口下，點擊“Proposal”，謝謝閱讀然后點擊“Add”添加一條proposal，根據(jù)不同的需求，選擇相應(yīng)的算法及其他相關(guān)參數(shù)，謝謝閱讀如下圖所示命令行配置參考如下：SRX-1：setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys感謝閱讀setsecurityikeproposalike-pro-1dh-groupgroup2精品文檔放心下載setsecurityikeproposalike-pro-1authentication-algorithmmd5感謝閱讀setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc精品文檔放心下載setsecurityikeproposalike-pro-1lifetime-seconds900謝謝閱讀.SRX-2：setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys感謝閱讀setsecurityikeproposalike-pro-1dh-groupgroup2感謝閱讀setsecurityikeproposalike-pro-1authentication-algorithmmd5精品文檔放心下載setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc精品文檔放心下載setsecurityikeproposalike-pro-1lifetime-seconds900感謝閱讀B.創(chuàng)建IKEPolicy點擊“IKEPolicy”，添加一條IKEPolicy。精品文檔放心下載在“AddPolicy”彈出窗口中，首先定義策略“Name”為ike-policy-1；精品文檔放心下載然后選擇Mode為main；如果VPN兩端的IP地址都是靜態(tài)IP，則可以選擇mainmode或者aggressivemode，感謝閱讀如果VPN兩端有任意一端是動態(tài)IP（如ADSL方式），則必須選擇aggressivemode。謝謝閱讀最后選擇Proposal中，可以選擇預(yù)定義的 proposal，如standard、basic或者感謝閱讀compatible等，也可以選擇自定義的proposal，如之前我們定義的“ike-pro-1”。在本精品文檔放心下載例中，我們選擇的proposal為standard。謝謝閱讀如下圖所示：.然后，在“IKEPolicyOptions”中，創(chuàng)建PreSharedKey，完成后點擊“OK”。感謝閱讀命令行配置參考如下：SRX-1：setsecurityikepolicyike-policy-1modemain感謝閱讀setsecurityikepolicyike-policy-1proposal-setstandard感謝閱讀setsecurityikepolicyike-policy-1pre-shared-keyascii-textjuniper謝謝閱讀.SRX-2：setsecurityikepolicyike-policy-1modemain感謝閱讀setsecurityikepolicyike-policy-1proposal-setstandard精品文檔放心下載setsecurityikepolicyike-policy-1pre-shared-keyascii-textjuniper謝謝閱讀C.創(chuàng)建Gateway點擊“Gateway”，添加一條Gateway。在“AddGateway”彈出窗口中，完成如下參數(shù)：感謝閱讀Name： GwToSRX2Policy： 在下拉菜單中選擇之前創(chuàng)建的“ike-policy-1”謝謝閱讀ExternalInterface：在下拉菜單中選擇出向端口，本例中為“ge-0/0/0”感謝閱讀SitetoSiteTunnel：勾選Address/FQDN： 填寫對端VPN網(wǎng)關(guān)IP，本例為“”感謝閱讀.命令行配置參考如下：SRX-1：setsecurityikegatewayGwToSRX2ike-policyike-policy-1精品文檔放心下載setsecurityikegatewayGwToSRX2address精品文檔放心下載setsecurityikegatewayGwToSRX2external-interfacege-0/0/0.0謝謝閱讀SRX-2：setsecurityikegatewayGwToSRX1ike-policyike-policy-1感謝閱讀setsecurityikegatewayGwToSRX1address謝謝閱讀setsecurityikegatewayGwToSRX1external-interfacege-0/0/0.0謝謝閱讀3)Phase2配置配置IPSec隧道的Phase2，應(yīng)該先配置phase2proposal（如果使用預(yù)定義的感謝閱讀proposal，則此步驟可略過），然后配置IPSecpolicy，最后是AutokeyIKE。感謝閱讀A.創(chuàng)建phase2proposal點擊“IPSecVPN”>“AutoTunnel”>“PhaseII”，在當(dāng)前窗口下點擊“Proposal”精品文檔放心下載添加一條proposal，在“AddProposal”彈出窗口下，完成如下參數(shù)的設(shè)置，然后點擊“OK”感謝閱讀即可。Name： ipsec-pro-1Authenticationalgorithm： hmac-md5-96精品文檔放心下載Encryptionalgorithm： 3des-cbc感謝閱讀.Lifetimeseconds：3600Protocol： esp命令行配置參考如下：SRX-1：setsecurityipsecproposalipsec-pro-1protocolesp精品文檔放心下載set security ipsec proposal ipsec-pro-1 authentication-algorithm謝謝閱讀hmac-md5-96setsecurityipsecproposalipsec-pro-1encryption-algorithm3des-cbc感謝閱讀setsecurityipsecproposalipsec-pro-1lifetime-seconds3600謝謝閱讀SRX-2：setsecurityipsecproposalipsec-pro-1protocolesp精品文檔放心下載set security ipsec proposal ipsec-pro-1 authentication-algorithm感謝閱讀hmac-md5-96setsecurityipsecproposalipsec-pro-1encryption-algorithm3des-cbc精品文檔放心下載.setsecurityipsecproposalipsec-pro-1lifetime-seconds3600感謝閱讀B.創(chuàng)建IPSecPolicy點擊“IPSecPolicy”，添加一條策略。在“AddPolicy”彈出窗口中，首先定義“Name”為ipsec-policy-1，然后選擇Proposal，精品文檔放心下載phase1的proposal一樣，我們可以選擇預(yù)定義的proposal，也可以選擇之前定義好的proposal，即“ipsec-pro-1”，然后點擊“OK”即可。謝謝閱讀命令行配置參考如下：SRX-1：setsecurityipsecpolicyipsec-policy-1proposal-setstandard感謝閱讀SRX-2：setsecurityipsecpolicyipsec-policy-1proposal-setstandard精品文檔放心下載.C.創(chuàng)建Autokey點擊“Autokey”，在“AddGateway”彈出窗口中，設(shè)置如下參數(shù)，然后點擊“OK”。精品文檔放心下載VPNName：vpnToSRX2RemoteGateway：在下拉菜單中選擇phase1創(chuàng)建的GwToSRX2IPSecPolicy：在下拉菜單中選擇phase2創(chuàng)建的ipsec-policy-1Establishtunnels：在下拉菜單中選擇immediately命令行配置參考如下：SRX-1：setsecurityipsecvpnvpnToSRX2ikegatewayGwToSRX2感謝閱讀setsecurityipsecvpnvpnToSRX2ikeipsec-policyipsec-policy-1精品文檔放心下載setsecurityipsecvpnvpnToSRX2establish-tunnelsimmediately精品文檔放心下載SRX-2：setsecurityipsecvpnvpnToSRX1ikegatewayGwToSRX1感謝閱讀setsecurityipsecvpnvpnToSRX1ikeipsec-policyipsec-policy-1感謝閱讀.setsecurityipsecvpnvpnToSRX1establish-tunnelsimmediately感謝閱讀策略策略的WebUI配置請參考本文其他部分，此處略。精品文檔放心下載命令行配置參考如下：SRX-1：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnmatch感謝閱讀source-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnmatch感謝閱讀destination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnmatch精品文檔放心下載applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnthen精品文檔放心下載permittunnelipsec-vpnvpnToSRX2謝謝閱讀setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypolicy-vpnmatch感謝閱讀source-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypolicy-vpnmatch精品文檔放心下載destination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypolicy-vpnmatch謝謝閱讀applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnthen感謝閱讀permittunnelipsec-vpnvpnToSRX2感謝閱讀.SRX-2：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnmatch謝謝閱讀source-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnmatch感謝閱讀destination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnmatch精品文檔放心下載applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnthen精品文檔放心下載permittunnelipsec-vpnvpnToSRX1精品文檔放心下載setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypolicy-vpnmatch感謝閱讀source-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypolicy-vpnmatch感謝閱讀destination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypolicy-vpnmatch感謝閱讀applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-vpnthen謝謝閱讀permittunnelipsec-vpnvpnToSRX1感謝閱讀（2）基于策略的IPSecVPN（aggressive模式）精品文檔放心下載拓?fù)淙缦?基本配置先按照拓?fù)浣o2臺SRX設(shè)備配置zone、interfaces及路由等相關(guān)信息。WebUI配置精品文檔放心下載步驟請參考本文其他相關(guān)章節(jié)。命令行配置參考如下：SRX-1：setinterfacesge-0/0/0unit0familyinetaddress/24感謝閱讀setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0精品文檔放心下載setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-services精品文檔放心下載allsetinterfacesge-0/0/3unit0familyinetaddress/24謝謝閱讀setsecurityzonessecurity-zonetrustinterfacesge-0/0/3.0謝謝閱讀setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall感謝閱讀setrouting-optionsstaticroute/0next-hopx.x.x.x謝謝閱讀SRX-2：setinterfacege-0/0/0unit0encapsulationppp-over-ether精品文檔放心下載setinterfacepp0unit0ppp-optionspaplocal-namelab謝謝閱讀.setinterfacepp0unit0ppp-optionspaplocal-passwordlab123感謝閱讀setinterfacepp0unit0ppp-optionspappassive精品文檔放心下載setinterfacepp0unit0pppoe-optionsunderlying-interfacege-0/0/0.0感謝閱讀setinterfacepp0unit0pppoe-optionsclient謝謝閱讀setinterfacepp0unit0familyinetnegotiate-address感謝閱讀setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0感謝閱讀setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-services精品文檔放心下載allsetinterfacesge-0/0/3unit0familyinetaddress/24謝謝閱讀setsecurityzonessecurity-zonetrustinterfacesge-0/0/3.0感謝閱讀setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall謝謝閱讀setrouting-optionsstaticroute/0next-hoppp0.0感謝閱讀2)Phase1配置A.創(chuàng)建phase1proposal點擊“IPSecVPN”>“AutoTunnel”>“PhaseI”，在當(dāng)前窗口下，點擊“Proposal”，謝謝閱讀然后點擊“Add”添加一條proposal，根據(jù)不同的需求，選擇相應(yīng)的算法及其他相關(guān)參數(shù)，精品文檔放心下載如下圖所示.命令行配置參考如下：SRX-1：setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys精品文檔放心下載setsecurityikeproposalike-pro-1dh-groupgroup2精品文檔放心下載setsecurityikeproposalike-pro-1authentication-algorithmmd5謝謝閱讀setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc感謝閱讀setsecurityikeproposalike-pro-1lifetime-seconds900感謝閱讀SRX-2：setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys謝謝閱讀setsecurityikeproposalike-pro-1dh-groupgroup2感謝閱讀setsecurityikeproposalike-pro-1authentication-algorithmmd5精品文檔放心下載setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc精品文檔放心下載setsecurityikeproposalike-pro-1lifetime-seconds900謝謝閱讀.B.創(chuàng)建IKEPolicy點擊“IKEPolicy”，添加一條IKEPolicy。謝謝閱讀在“AddPolicy”彈出窗口中，首先定義策略“Name”為ike-policy-2；精品文檔放心下載然后選擇Mode為aggressive；最后選擇Proposal中，可以選擇預(yù)定義的 proposal，如standard、basic或者感謝閱讀compatible等，也可以選擇自定義的proposal，如之前我們定義的“ike-pro-1”。在本謝謝閱讀例中，我們選擇的proposal為standard。謝謝閱讀如下圖所示：然后，在“IKEPolicyOptions”中，創(chuàng)建PreSharedKey，完成后點擊“OK”。感謝閱讀.命令行配置參考如下：SRX-1:setsecurityikepolicyike-policy-2modeaggressive感謝閱讀setsecurityikepolicyike-policy-2proposal-setstandard感謝閱讀setsecurityikepolicyike-policy-2pre-shared-keyascii-text"juniper"精品文檔放心下載SRX-2:setsecurityikepolicyike-policy-2modeaggressive感謝閱讀setsecurityikepolicyike-policy-2proposal-setstandard感謝閱讀setsecurityikepolicyike-policy-2pre-shared-keyascii-text"juniper"謝謝閱讀C.創(chuàng)建GatewaySRX-1:.點擊“Gateway”，添加一條Gateway。在“AddGateway”彈出窗口中，完成如下參數(shù)：精品文檔放心下載Name： GwToSRX2Policy： 在下拉菜單中選擇之前創(chuàng)建的“ike-policy-2”謝謝閱讀ExternalInterface：在下拉菜單中選擇出向端口，本例中為“ge-0/0/0”感謝閱讀ClientTunnel： 勾選IdentityType： 在下拉菜單中選擇“EmailAddress”感謝閱讀EmailAddress： 按照email格式，任意定義一條ID，本例為“vpn@”感謝閱讀SRX-2:點擊“Gateway”，添加一條Gateway。在“AddGateway”彈出窗口中，完成如下參數(shù)：感謝閱讀Name： GwToSRX1Policy： 在下拉菜單中選擇之前創(chuàng)建的“ike-policy-2”感謝閱讀ExternalInterface：在下拉菜單中選擇出向端口，本例中為“ge-0/0/0”謝謝閱讀.SitetoSiteTunnel：勾選Address/FQDN： 填入SRX-1的外端口IP，為“”謝謝閱讀IdentityType： 在下拉菜單中選擇“EmailAddress”精品文檔放心下載EmailAddress： 須與 SRX-1上已定義的 mail地址一致，本例為精品文檔放心下載vpn@命令行配置參考如下：SRX1:setsecurityikegatewayGwToSRX2ike-policyike-policy-2感謝閱讀set security ike gateway GwToSRX2 dynamic user-at-hostname精品文檔放心下載"vpn@"setsecurityikegatewayGwToSRX2external-interfacege-0/0/0感謝閱讀SRX2:.setsecurityikegatewayGwToSRX1ike-policyike-policy-2精品文檔放心下載setsecurityikegatewayGwToSRX1address精品文檔放心下載set security ike gateway GwToSRX1 local-identity user-at-hostname感謝閱讀"vpn@"setsecurityikegatewayGwToSRX1external-interfacege-0/0/0精品文檔放心下載3)Phase2配置配置IPSec隧道的Phase2，應(yīng)該先配置phase2proposal（如果使用預(yù)定義的謝謝閱讀proposal，則此步驟可略過），然后配置IPSecpolicy，最后是AutokeyIKE。精品文檔放心下載A.創(chuàng)建phase2proposal點擊“IPSecVPN”>“AutoTunnel”>“PhaseII”，在當(dāng)前窗口下點擊“Proposal”謝謝閱讀添加一條proposal，在“AddProposal”彈出窗口下，完成如下參數(shù)的設(shè)置，然后點擊“OK”感謝閱讀即可。Name： ipsec-pro-1Authenticationalgorithm： hmac-md5-96謝謝閱讀Encryptionalgorithm： 3des-cbc精品文檔放心下載Lifetimeseconds： 3600Protocol： esp.命令行配置參考如下：SRX-1：setsecurityipsecproposalipsec-pro-1protocolesp感謝閱讀set security ipsec proposal ipsec-pro-1 authentication-algorithm感謝閱讀hmac-md5-96setsecurityipsecproposalipsec-pro-1encryption-algorithm3des-cbc精品文檔放心下載setse