Juniper SSG系列 VPN配置詳細(xì)設(shè)置圖形界面

/JuniperSSG系列VPN配置詳細(xì)設(shè)置圖形界面本次配置使用的是SSG140和SSG20來做站點(diǎn)到站點(diǎn)的基于路由的VPN（兩端地址都為靜態(tài)IP地址）。下圖是拓?fù)鋱D：我們是在公司內(nèi)部做配置，所以把外網(wǎng)口直接連接，我們在實(shí)驗(yàn)中用ip1.1.1.2來代替圖中的2.2.2.2,這樣確保路由沒有問題，模擬下圖的環(huán)境首先我們說一下配置的思路：配置基于路由的站點(diǎn)到站點(diǎn)VPN：1.為綁定到安全區(qū)段和通道接口的物理接口分配IP地址。2.配置VPN通道，在Untrust區(qū)段內(nèi)指定其外向接口，將其綁定到通道接口，并配置其代理ID。3.在Trust和Untrust區(qū)段的通訊簿中輸入本地與遠(yuǎn)程端點(diǎn)的IP地址。4.輸入通向trust-vr中外部路由器的缺省路由、通過通道接口通向目標(biāo)的路由以與通向目標(biāo)的Null路由。為Null路由分配較高的度量(遠(yuǎn)離零)，以便其成為通向目標(biāo)的下一個(gè)可選路由。接著，如果通道接口的狀態(tài)變?yōu)椤爸袛唷?，且引用該接口的路由變?yōu)榉腔顒?dòng)，則安全設(shè)備會(huì)使用Null路由(即實(shí)質(zhì)上丟棄了發(fā)送給它的任何信息流)，而不使用缺省路由(即轉(zhuǎn)發(fā)未加密的信息流)。5.為每個(gè)站點(diǎn)間通過的VPN流量設(shè)置策略。以下配置為SSG140防火墻初始化防火墻Juniper防火墻出廠時(shí)可通過缺省設(shè)置的IP地址使用Telnet或者Web方式管理。缺省IP地址為：192.168.1.1/255.255.255.0?？梢灾苯油ㄟ^WEB來進(jìn)行配置，但容易發(fā)生錯(cuò)誤，建議使用設(shè)備自帶的配置線連接計(jì)算機(jī)的COM口采用超級終端來行配置。1、我們先配置接口eth0/0綁定到trust安全區(qū)段，并設(shè)置IP為192.168.1.3/24，通過console口來配置：（先配置SSG140，登錄的用戶名和密碼為默認(rèn)密碼：均為netscreen）SSG140->unsetinterfaceethernet0/0ipSSG140->setinterfaceethernet0/0zonetrustSSG140->setinterfaceethernet0/0ip192.168.1.3/24SSG140->setinterfaceethernet0/0managewebSSG140->saveSaveSystemConfiguration...接下來我們就可以用WEB來管理設(shè)備，推薦使用IE瀏覽器：在IE瀏覽器地址欄里輸入用戶名和密碼均為:netscreen2、配置其它安全區(qū)段并配置地址定義內(nèi)網(wǎng)接口Network>Interfaces>Edit(對于ethernet0/1):修改紅線部分，然后單擊Apply:ZoneName:這是定義內(nèi)部LAN的IP，所以應(yīng)該在Trust安全區(qū)段StaticIP:我們做的是靜態(tài)IP地址的實(shí)驗(yàn)（管理地址應(yīng)和內(nèi)網(wǎng)接口地址在同一網(wǎng)段）ManagementServices:打開相應(yīng)的管理服務(wù)，以方便遠(yuǎn)程管理。Otherservices:允許ping，方便測試和維護(hù)。定義外網(wǎng)接口：Network>Interfaces>Edit(對于ethernet0/3):修改紅線部分，然后單擊Apply:A.ZoneName:這是定義外部接口，所以應(yīng)該在Untrust安全區(qū)段B.StaticIP:我們做的是靜態(tài)IP地址的實(shí)驗(yàn)（管理地址應(yīng)和內(nèi)網(wǎng)接口地址在同一網(wǎng)段）C.ManagementServices:根據(jù)需要打開相應(yīng)的管理服務(wù)，以方便遠(yuǎn)程管理。D.Otherservices:允許ping，方便測試和維護(hù)。定義通道接口：Network>Interfaces>NewTunnelIF:修改紅線部分，然后單擊OK:Zone(VR):通道接口綁定到Untrust區(qū)段Unnumbered:選擇綁定的接口定義內(nèi)部LAN地址薄：（方便在策略里引用）Objects>Addresses>List>New:，修改紅線部分，然后單擊OK:AddressName:建立一個(gè)標(biāo)識(shí)身份的名稱IPAdress/Netmask:輸入IP地址和子網(wǎng)掩碼，24位表示一個(gè)網(wǎng)段Zone:選擇相應(yīng)的區(qū)段定義對端LAN地址?。篛bjects>Addresses>List>New:，修改紅線部分，然后單擊OKAddressName:建立一個(gè)標(biāo)識(shí)身份的名稱IPAdress/Netmask:輸入對端IP地址和子網(wǎng)掩碼，24位表示一個(gè)網(wǎng)段選擇相應(yīng)的區(qū)段VPN配置：第一階段：VPNs>AutoKeyAdvanced>Gateway>New:修改紅線部分，:預(yù)共享密鑰為：123456GatewayName:到達(dá)對端的網(wǎng)關(guān)地址。SecurityLevel:選擇Custom兩方要一致StaticIPAddress:靜態(tài)IP地址PresharedKey:預(yù)共享密鑰兩方要一致我們這里用123456OutgoingInterface:選擇到達(dá)對端網(wǎng)關(guān)的出口然后單擊Advanced，修改紅線部分并單擊Return返回，并單擊OK。UserDefined:選擇CustomPhase1Proposal第一階段提議選擇相應(yīng)的加密和認(rèn)證算法兩方要一致Mode(Initiator)：模式這里選擇Main主模式（主模式提供身份保護(hù)，主動(dòng)模式不提供身份保護(hù)）第二階段：VPNs>AutoKeyIKE>New:輸入以下內(nèi)容，VPNName:建立名稱SecurityLevel:選擇Custom兩方配置要一致RemoteGateway:Predefined選擇預(yù)定義,選擇剛才建立的網(wǎng)關(guān)然后單擊Advanced，修改紅線部分并單擊Return返回，并單擊OK。UserDefined:選擇Custom并且第二階段提議以確定要在SA中應(yīng)用的安全參數(shù)。兩方配置要一致。Bindto:選擇Tunnelinterface并且選擇前面建立的tunnel.1通道接口。Proxy-ID:選擇并且輸入LocalIP和RemoteIP與子網(wǎng)掩碼Service:ANY路由配置：默認(rèn)路由Network>Routing>RoutingEntries>trust-vrNew:修改紅線部分，然后單擊OK:通過通道接口通向目標(biāo)的路由：Network>Routing>RoutingEntries>trust-vrNew:修改紅線部分，然后單擊OK:通向目標(biāo)的NULL路由Network>Routing>RoutingEntries>trust-vrNew:修改紅線部分，然后單擊OK:策略配置：配置從trust區(qū)段到untrust區(qū)段的策略，并加到頂部Policies>(From:Trust,To:Untrust)New:修改紅線部分，然后單擊OK:配置從untrust區(qū)段到trust區(qū)段的策略，并加到頂部Policies>(From:Untrust,To:Trust)>New:修改紅線部分，然后單擊OK:SSG140上已經(jīng)配置好了接下來配置SSG20，以下配置為SSG20防火墻初始化SSG20防火墻，方法同SSG140相同，參照上文。初始化后，通過WEB來配置。配置思路和SSG140相同。我這里設(shè)置SSG20管理IP為192.168.1.4接下來我們就可以用WEB來管理設(shè)備，推薦使用IE瀏覽器：在IE瀏覽器地址欄里輸入用戶名和密碼均為:netscreen1、配置安全區(qū)段并配置地址定義內(nèi)網(wǎng)接口Network>Interfaces>Edit(對于ethernet0/1):修改紅線部分，然后單擊Apply:注意：綁定trust區(qū)段的接口默認(rèn)為nat模式定義外網(wǎng)接口：Network>Interfaces>Edit(對于ethernet0/3):修改紅線部分，然后單擊Apply:定義通道接口：Network>Interfaces>NewTunnelIF:修改紅線部分，然后單擊OK:定義內(nèi)部LAN地址：Objects>Addresses>List>New:，修改紅線部分，然后單擊OK:定義對端LAN地址：Objects>Addresses>List>New:，修改紅線部分，然后單擊OKVPN配置：第一階段：VPNs>AutoKeyAdvanced>Gateway>New:修改紅線部分，:預(yù)共享密鑰為：123456然后單擊Advanced，修改紅線部分并單擊Return返回，并單擊OK。第二階段：VPNs>AutoKeyIKE>New:輸入以下內(nèi)容然后單擊Advanced，修改紅線部分并單擊Return返回，并單擊OK。路由配置：默認(rèn)路由Network>Routing>RoutingEntries>trust-vrNew:修改紅線部分，然后單擊OK:通過通道接口通向目標(biāo)的路由：Network>Routing>RoutingEntries>trust-vrNew:修改紅線部分，然后單擊OK:通向目標(biāo)的NULL路由Network>Routing>RoutingEntries>trust-vrNew:修改紅線部分，然后單擊OK:策略配置：配置從trust區(qū)段到untrust區(qū)段的策略，并加到頂部Policies>(From