JuniperSSG系列VPN配置详细设置图形界面

JuniperSSG系列VPN配置详细设置图形界面本次配置使用得就是SSG140与SSG20来做站点到站点得基于路由得VPN(两端地址都为静态IP地址)、下图就是拓扑图:我们就是在公司内部做配置,所以把外网口直接连接,我们在实验中用ip1.首先我们说一下配置得思路:配置基于路由得站点到站点VPN:1、为绑定到安全区段与通道接口得物理接口分配IP2、配置VPN通道,在Untrust区段内指定其外向接口,将其绑定到通道接口,并配置其代理ID。rust与Untrust区段得通讯簿中输入本地及远程端点得IP地址、4.输入通向trust—vr中外部路由器得缺省路由、通过通道接口通向目标得路由以及通向目标得Null路由。为Null路由分配较高得度量(远离零),以便其成为通向目标得则安全设备会使用Null路由(即实质上丢弃了发送给它得任何信息流),而不使用缺省路由(即转发未加密得信息流)。5。为每个站点间通过得VPN流量设置策略。以下配置为SSG140防火墙初始化防火墙Juniper防火墙出厂时可通过缺省设置得IP地址使用Telnet或者Web方式管理。IP地址为:192、168.1、1/255。255、255、0、可以直接通过WEB来进行配置,但容易发1、我们先配置接口eth0/0绑定到trust安全区段,并设置IP为192、168.1、3/24,通过console口来配置:(先配置SSG140,登录得用户名与密码为默认密码:均为netscreen)SSG140-〉unsetinterfaceethernet0/0ipSSG140-＞setinterfaceethernet0/0zonetrustSSG140-＞setinterfaceethernet0/0ip192.168。1。3／24SSG140—>setinterfaceethernet0/0managewebSSG140->saveSaveSystemConfiguration。。、接下来我们就可以用WEB来管理设备,推荐使用IE浏览器:2、配置其它安全区段并配置地址定义内网接口Network〉Interfaces〉Edit(对于ethernet0／1):修改红线部分,然后单击Apply:A．ZoneName:这就是定义内部LAN得IP,所以应该在Trust安全区段B.StaticIP:我们做得就是静态IP地址得实验(管理地址应与内网接口地址在同一网段)C.ManagementServices:打开相应得管理服务,以方便远程管理、D．Otherservices:允许ping,方便测试与维护。定义外网接口:Network>Interfaces〉Edit(对于ethernet0/3):修改红线部分,然后单击Apply:A、ZoneName:这就是定义外部接口,所以应该在Untrust安全区段B.StaticIP:我们做得就是静态IP地址得实验(管理地址应与内网接口地址在同一网段)C、ManagementServices:根据需要打开相应得管理服务,以方便远程管理。D、Otherservices:允许ping,方便测试与维护。定义通道接口:Network〉Interfaces＞NewTunnelIF:修改红线部分,然后单击OK:A．Zone(VR):通道接口绑定到Untrust区段B．Unnumbered:选择绑定得接口定义内部LAN地址薄:(方便在策略里引用)Objects>Addresses＞List〉New:,修改红线部分,然后单击OK:A．AddressName:建立一个标识身份得名称B.IPAdress/Netmask:输入IP地址与子网掩码,24位表示一个网段定义对端LAN地址薄:Objects>Addresses>List〉New:,修改红线部分,然后单击OK/Netmask:输入对端IP地址与子网掩码,24位表示一个网段VPN配置:第一阶段:VPNs＞AutoKeyAdvanced＞Gateway>New:修改红线部分,:A.GatewayName:到达对端得网关地址。B．SecurityLevel:选择Custom两方要一致C．StaticIPAddress:静态IP地址D．PresharedKey:预共享密钥两方要一致我们这里用123456E.OutgoingInterface:选择到达对端网关得出口然后单击Advanced,修改红线部分并单击Return返回,并单击OK、A．UserDefined:选择CustomB．Phase1Proposal第一阶段提议选择相应得加密与认证算法两方要一致C．Mode(Initiator):模式这里选择Main主模式(主模式提供身份保护,主动模式不提供身份保护)第二阶段:VPNs>AutoKeyIKE〉New:输入以下内容,A．VPNName:建立名称B．SecurityLevel:选择Custom两方配置要一致C.RemoteGateway:Predefined选择预定义,选择刚才建立得网关然后单击Advanced,修改红线部分并单击Return返回,并单击OK。A.UserDefined:选择Custom并且第二阶段提议以确定要在SA中应用得安全参B.Bindto:选择Tunnelinterface并且选择前面建立得tunnel。1通道接口。C.Proxy-ID:选择并且输入LocalIP与RemoteIP及子网掩码D.Service:ANY路由配置:默认路由Network〉Routing〉RoutingEntries＞trust—vrNew:修改红线部分,然后单击OK:通过通道接口通向目标得路由:Network>Routing＞RoutingEntries>trust-vrNew:修改红线部分,然后单击OK:通向目标得NULL路由Network〉Routing>RoutingEntries>trust-vrNew:修改红线部分,然后单击OK:策略配置:配置从trust区段到untrust区段得策略,并加到顶部Policies>(From:Trust,To:Untrust)New:修改红线部分,然后单击OK:配置从untrust区段到trust区段得策略,并加到顶部Policies〉(From:Untrust,To:Trust)>New:修改红线部分,然后单击OK:接下来配置SSG20,以下配置为SSG20防火墙初始化SSG20防火墙,方法同SSG140相同,参照上文。初始化后,通过WEB来配置。配置思路与SSG140相同。我这里设置SSG20管理IP为192。168.接下来我们就可以用WEB来管理设备,推荐使用IE浏览器:在IE浏览器地址栏里输入用户名与密码均为:netscreen定义内网接口Network>Interfaces>Edit(对于ethernet0/1):修改红线部分,然后单击Apply:注意:绑定trust区段得接口默认为nat模式定义外网接口:Network>Interfaces＞Edit(对于ethernet0/3):修改红线部分,然后单击Apply:定义通道接口:Network〉Interfaces＞NewTunnelIF:修改红线部分,然后单击OK:定义内部LAN地址:Objects＞Addresses>List>New:,修改红线部分,然后单击OK:定义对端LAN地址:Objects>Addresses>List＞New:,修改红线部分,然后单击OK第一阶段:VPNs>AutoKeyAdvanced>Gateway〉New:修改红线部分,:然后单击Advanced,修改红线部分并单击Return返回,并单击OK。第二阶段:VPNs>AutoKeyIKE>New:输入以下内容然后单击Advanced,修改红线部分并单击Return返回,并单击OK。路由配置:默认路由Network〉Routing＞RoutingEntries〉trust－vrNew:修改红线部分,然后单击OK:通过通道接口通向目标得路由:Network>Routing>RoutingEntries>trust—vrNew:修改红线部分,然后单击OK:通向目标得NULL路由Network〉Routing〉RoutingEntries〉trust—vrNew:修改红线部分,然后单击OK:策略配置:配置从trust区段到untrust区段得策略,并加到顶部Policie