SRX-WebUI-配置手冊(cè)資料

目錄

WebUI配置前打算工作3

一、設(shè)備系統(tǒng)配置4

1.接口配置(靜態(tài)ip)4

(1)創(chuàng)建平安Zone5

(2)綁定相應(yīng)接口6

2.接口配置(pppoe)錯(cuò)誤!未定義書簽。

(1)封裝端口為ppp-over-ether錯(cuò)誤!未定義書簽。

(2)ppp-options西已置錯(cuò)誤!未定義書簽。

(3)pppoe-options酉己置錯(cuò)誤!未定義書簽。

(4)Family屬性配置錯(cuò)誤!未定義書簽。

二、交換機(jī)vlan模式配置8

1.創(chuàng)建VLAN(RVI)8

2.創(chuàng)建平安Zone并綁定相應(yīng)RVI11

三、NAT及其策略配置12

1.源地址NAT12

(1)基于接口的源地址NAT12

1)創(chuàng)建NAT規(guī)則12

2)創(chuàng)建策略13

(2)基于Pool的源地址NAT15

1)創(chuàng)建NAT規(guī)則15

2)Proxyarp17

3)創(chuàng)建策略17

2.目的地址NAT18

(1)創(chuàng)建NAT規(guī)則18

(2)創(chuàng)建策略21

1)創(chuàng)建地址列表21

2)創(chuàng)建服務(wù)列表21

3)創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)22

3.StaticNAT23

(1)創(chuàng)建NAT規(guī)則24

(2)創(chuàng)建策略25

1)創(chuàng)建地址列表25

2)創(chuàng)建服務(wù)列表26

3)創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)27

四、IPSecVPN配置29

1.Site-to-SiteVPN29

(1)基于策略的IPSecVPN(main模式)29

1)基本配置29

2)Phase1配置30

A.倉(cāng)ij建phase1proposal30

B.創(chuàng)建IKEPolicy31

C.創(chuàng)建Gateway32

3）Phase2配置33

A.倉(cāng)1J建phase2proposal33

B.創(chuàng)建IPSecPolicy34

C.創(chuàng)建Autokey35

4）策略36

（2）基于策略的IPSecVPN（aggressive模式）37

1）基本配置37

2）Phase1配置38

A.創(chuàng)建phase1proposal38

B.創(chuàng)建IKEPolicy39

C.創(chuàng)建Gateway41

3）Phase2配置42

A.創(chuàng)建phase2proposal42

B.創(chuàng)建IPSecPolicy43

C.創(chuàng)建Autokey44

4）策略45

（3）基于路由的IPSecVPN（VPNWizards加置方式）47

1）基本配置47

2）運(yùn)用J-Web的VPNWizards配置48

2.DynamicVPN55

（1）基本配置55

（2）Dynamicvpn配置步驟55

1）典型配置方式55

A.定義VPN撥號(hào)用戶及地址池55

B.定義IPSecVPN57

C.將撥號(hào)用戶與VPN相關(guān)聯(lián)62

D.策略63

2）VPNWizards配置方式64

（3）登錄68

WebUI配置前打算工作

SRX系列設(shè)備默認(rèn)是沒(méi)有開啟WEB服務(wù)的，因此我們須要通過(guò)console進(jìn)入CLI,給設(shè)

備配置一個(gè)管理IP，并開啟服務(wù)，以便于PC可以通過(guò)web界面登錄至SRX進(jìn)行配置管

理。

吩咐行配置參考如下：

setsystemservicesweb-management

setsecurityzonesfunctional-zonemanagementinterfacesge-0/0/15.0

setsecurityzonesfunctional-zonemanagementhost-inbound-trafficsystem-servicesall

連接PC至SRX的ge-0/0/15口，配置PC網(wǎng)卡為網(wǎng)段，打開IE閱讀器，輸入，出現(xiàn)如下

登錄界面

輸入用戶名、密碼，點(diǎn)擊“Login”即可。

點(diǎn)擊“Dashboard”，可視察當(dāng)前設(shè)備的系統(tǒng)狀態(tài)、告警信息、資源利用率等，如下圖。

(1)創(chuàng)建平安Zone

依據(jù)拓?fù)?，我們須要把Ge-0/0/4綁定至UntrustZone,Ge-0/0/3綁定至TrustZone,那

么我們就須要?jiǎng)?chuàng)建2個(gè)平安Zone,分別為UntrustZone和TrustZone,并綁定相應(yīng)端口。

點(diǎn)擊“Security”>“Zones/Screens”，然后點(diǎn)擊“Add”,

在當(dāng)前彈出窗口的“Zonename”文本框中，填入“untrust",并保持"Zonetype”默認(rèn)

的“security”類型不變，如下圖所示

為便于測(cè)試,我們還須要將ping服務(wù)打開，點(diǎn)擊“Hostinboundtraffic-Zone",在"Services”

欄中選擇“Ping”，然后點(diǎn)擊“OK”即可。

同樣，我們依據(jù)相同步驟再添加一個(gè)trustzone,并開啟相關(guān)services。

吩咐行配置參考如下：

setsecurityzonessecurity-zoneuntrust

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesping

setsecurityzonessectrity-zonetrust

setsecurityzonessectrity-zonetrusthost-inbound-trafficsystem-servicesall

(2)綁定相應(yīng)接口

點(diǎn)擊“Interfaces”，在端口列表中選中“Ge-0/03”,然后點(diǎn)擊“Add”>“LogicalInterface”

CJuniperfebDevicelanacer-VindovsInternetExplorer

1681.1/13句X的

文悻Q)胸疆R)as?嘖津英s)Ifltt)紂助QP

依亞英?Jmip?rftbDevice

DMhooard

InterlaceConfigurdtion

FAerbyhterfkeTyp?▼AlInterfxesv[Go][Char]

murftc*?5kSUM

ge-CWt)@@OOKMH

??Up

豆?p-(W0?@UP

pe-tvaia?Down

|9?-(W3@

」

0e-a*G4T?iup

ge-CW$⑥up卷DOSN”

?up?Down

*W7(up?Oown

在彈出的端口配置窗口中，配置如卜信息:

然后，我們?cè)僖罁?jù)相同步驟，配置“Ge-0/0/4”端口的相應(yīng)信息。

吩咐行配置參考如下:

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/3.0

setsecurityzonessectrity-zonetrustinterfacesge-0/0/4.0

注：在Junipei?的ScreenOS系列防火墻中，必需先創(chuàng)建Zone,然后才能配置端口，而

在SRX系列中，并不是必需遵循這一依次的，我們可以先創(chuàng)建Zone再配置端口，也可以先

配置端口再創(chuàng)建Zone。

1、交換機(jī)vlan模式配置

拓?fù)淙缦?/p>

PC-2：00/24

Untrust

Vian100.Ge-0/0/l~2

/24

Vian10：Ge-0/0/3-4

/24

Trust

PC-.100/24

如下圖所示,我們須要?jiǎng)?chuàng)建2個(gè)Vian,將Ge-0/0/1和Ge-0/0/2綁定至Vian100,將

Ge-0/0/3和Ge-0/0/4綁定至Vian10,并將這2個(gè)Vian分別綁定至Untrustzone和Trustzcne。

1.創(chuàng)建VLAN(RVI)

點(diǎn)擊“Switching”>“VLAN”，然后點(diǎn)擊“Add”創(chuàng)建一個(gè)Vian,

JuniperfcbDevicelanagciVindovsInternetExplorer

i|/JIWIM11〃”“，y]+兇包

然后在“Ports”選項(xiàng)欄，點(diǎn)擊“Add...”,將Ge-0/0/1和Ge-0/0/2綁定至該Vian,如下

圖所示：

在“IPaddress”選項(xiàng)欄中，填寫P如下:

AddVLAN

[OK]Cancel

完成以上配置后，點(diǎn)擊“OK”,SRX將自動(dòng)給我們創(chuàng)建的VALN100安排一個(gè)unit值（從

0起先安排），該值在we匕界面上不行修改，如下圖所示：

VLANConfiguration

VLANNameVLAWO/RangeDescnption

vten-100100vlan-untrust

default1Hone

DetailsofVLAN:vlan-100

Name

|Multilayerswitching(RVl)

vton.O

Paddress1001.11/24

Layer3-interface-inputfilterHone

Layer3-lnterface-outputfrfterHone

完成以上配置后，我們?cè)僖罁?jù)相同步驟創(chuàng)建一個(gè)Vian10。（略）

注：在Web界面的端口列表中，不會(huì)顯示Vian端口及相關(guān)信息，所以無(wú)法對(duì)vlan端口

的unit值進(jìn)行修改，假如須要修改，只能通過(guò)CLI進(jìn)行操作。

2.創(chuàng)建平安Zone并綁定相應(yīng)RVI

點(diǎn)擊“Security”>uZones/Screensn,然后點(diǎn)擊“Add”,在彈出窗口中，創(chuàng)建一個(gè)Untrust

Zone,并將vlan.O綁定至該zone,如下圖所示，

為便于測(cè)試,建議在Hostinboundtraffic選項(xiàng)欄中,將ping打開。

依據(jù)相同步驟,再創(chuàng)建一個(gè)Trustzone,并將vlan.l綁定至trustzone,如下圖

AddZone

MainHostinboundtraffic-Zone]Hostinboundtraffic-Interface

*Zonename:|trust

*Zonetype:?security

Ofunctional

Trafficcontroloptions

SendRSTfornonmatchingsession:口

Bindingscreen:

Interfacesinthiszone:Available-

ge-0/0/1.0

ge-0/0/2.0

ge-0/0/3.0

ge-0/0/4.0

ge-0/0/15.0

OK]ICancei

2、NAT及其策略配置

1.源地址NAT

(1)基于接口的源地址NAT

拓?fù)淙缦?/p>

10.1.1.1|100.Ll.10T|lOO.l.LloG

1)創(chuàng)建NAT規(guī)則

點(diǎn)擊“NAT”>SourceNAT”，在“SourceRuleSet”當(dāng)前界面下，點(diǎn)擊“Add”創(chuàng)建一

條RuleSet,如下圖

JuniperFebDevicelana^et-VindovsInternetExplorer

卜〃偵,ice.i.iv?，八

文件G)審線d)查看00收藏夾(A)工具CT)幫助OO

收寒夾?JuniperMobDeviceM皿

在“AddRuleSet”彈出窗口中,定義"RuleSetName"名為nat-src-int,并選擇FromZone

為trust,ToZone為untrust,然后點(diǎn)擊"Add"創(chuàng)建一條"Rule”,

在“AddRule”彈出窗口中，給該rule命名為T',然后定義“SoureAddress”為,"Destination

Address"為，并在"Action”選項(xiàng)欄中選擇“DoSourceNATWithEgressInterfaceAddress”,

其余保持默認(rèn)，點(diǎn)擊“OK”，即可。

2）創(chuàng)建策略

點(diǎn)擊“Security”>“Policy”>“FWPolicies”，然后點(diǎn)擊“Add”創(chuàng)建一條策略,

在策略彈出窗口中，設(shè)置如下參數(shù):

PolicyName：1

FromZone：trust

ToZone：untrust

SourceAddress：any-ipv4

DestinaAddress：any-ipv4

Application：any

PolicyAction：permit

如下圖所示，設(shè)置完成后，點(diǎn)擊“OK”即可。

AddPolicy

PolicyLogging/CountSchedulingPermitActionAppScabonServices

*PokyAction:Ipermit

*ToZone:Iuntrust

*DestinationAddress

Address-BookMatched

any

any-ipv60

□Addnewdestinationaddress

*Applications

*AppicatronApplication?/SetsMatched

Junos-ftp人pHany

Junos-cftp0

Junosrtsp

junos-netbios-session

junos-smb-session

Search:

OK11Cancel

（2）基于Pool的源地址NAT

拓?fù)淙缦?/p>

TrustUntrust

Ge-0/0/3Ge-0/0/4PC-2：00/24

PC-l：/24/24lOC.1.1.1/24

100.1.L100100.1.L10~20|00

1）創(chuàng)建NAT規(guī)則

配置基于Pool的源地址轉(zhuǎn)換，須要?jiǎng)?chuàng)建一個(gè)地址池（Pool）。點(diǎn)擊“NAT”>“SourceNAT",

在SourceNATPoolw界面下，點(diǎn)擊“Add”創(chuàng)建一個(gè)NAT地址池，如下圖

定義“PoolName”名為nat-pool,“PoolAddresses”為，其余保持默認(rèn)，點(diǎn)擊“0K”即

可。

然后再回到“SourceRuleSet”界面，點(diǎn)擊“Add”創(chuàng)建一條RuleSet,如下圖

(Juniper￥ebDevicelanacer一findowsInternetExplorer

在“AddRuleSet”彈出窗口中,定義“RuleSetName”名為nat-src-pooL并選擇From

Zone為trust,ToZone為untrust,然后點(diǎn)擊"Add"創(chuàng)建一條"Rule”,

在“AddRule”彈出窗口中，給該rule命名為’1”,然后定義“SoureAddress”為,“Destination

Addressn為，并在“Action”選項(xiàng)欄中選擇“DoSourceNATWithPool”，并在下拉菜單中選

擇之前我們創(chuàng)建的“nat-pool”，其余保持默認(rèn)，點(diǎn)擊“0K”，即可。

注：在CLI中，須要首先創(chuàng)建一個(gè)Pool,然后再創(chuàng)建NAT規(guī)則并調(diào)用該P(yáng)ool：而在WebUI

中，我們即可以先創(chuàng)建Pool,再創(chuàng)建NAT規(guī)則，也可以先創(chuàng)建NAT規(guī)則,然后在“AddRule”

彈出窗口中的“Action”選項(xiàng)欄中，通過(guò)點(diǎn)擊“AddNewPool”來(lái)創(chuàng)建Pool。可見,SRX的

WebUI更加敏捷。這一特性同樣適用于目的地址NATo

2)Proxyarp

SRX多了一個(gè)proxy-arp的概念，假如定義的IPPool（可用于源或目的地址轉(zhuǎn)換）與接

UIP在同一子網(wǎng)時(shí)，則需配置SRX對(duì)這個(gè)Pool內(nèi)的地址供應(yīng)ARP代理功能，這樣對(duì)端設(shè)備

能夠解析到IPPool地址的MAC地址（運(yùn)用接口MAC地址響應(yīng)對(duì)方），以便于返回報(bào)文能夠

送達(dá)SRX,

點(diǎn)擊“NAT”>“ProxyARP”，然后點(diǎn)擊“Add”添加ARP代理,在彈出窗口中,選擇Interface

為ge-0/0/4.0,Addresses為,完成后點(diǎn)擊“OK”即可。

如下圖所示：

創(chuàng)建策略

該策略配置與基于接口的源地址NAT策略配置一樣，此處WebUI配置略。

吩咐行配置參考如下：

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit

2.目的地址NAT

拓?fù)淙缦?

UntrustTrust

Gc-O/O/4Ge-O/O/3

PC-1：1OO.1.1.100/24/24/24PC-2：/24

100.1.1.100100.1.1.100I10.1.1.2:8080

(1)創(chuàng)建NAT規(guī)則

點(diǎn)擊“NAT”>“DestinationNAT"，在aDestinationRuleSetw當(dāng)前界面下，點(diǎn)擊“Add”

創(chuàng)建一條RuleSet,如下圖

SouceMKT”6*I

的6,ARP

在"AddRuleSet”彈出窗口中,定義“RuleSetName”名為nat-dst,并選擇FromZone

為untrust,然后點(diǎn)擊“Add”創(chuàng)建一條“Rule”，

在“AddRule”彈出窗口中,給該rule命名為'1”,然后定義“SoureAddress”為,"Destination

Addressn為，“Port”為8080,并在“Action”選項(xiàng)欄中選擇“DoDestinationNATWithPool”，

點(diǎn)擊“AddNewPool”,如下圖

注：在SRX系列設(shè)備上做目的地址NAT時(shí),wDestinationAddress處填寫的是真實(shí)IP,

即hostaddress,而ScreenOS系列防火墻在做MIP時(shí)，填寫的是映射地址，請(qǐng)留意區(qū)分開來(lái)。

在"AddDestinationPool”彈出窗口中,定義“PoolName”名為nat-pool,填寫PoolIP

為，Port為8080,其余保持默認(rèn)，點(diǎn)擊“OK”即可。

回到“AddRule”窗口，在下拉菜單中選中剛才我們建立的“nat-pool”，然后依次點(diǎn)擊

“OK”。

吩咐行配置參考如下:

setsecuritynatdestinationpoolnat-pooladdressport8080

setsecuritynatdestinationrule-setnat-dstfromzoneuntrust

setsecuritynatdestinationrule-setnat-dstrule1matchdestination-port8080

setsecuritynatdestinationrule-setnat-dstrule1thendestination-natpoolnat-pool

(2)創(chuàng)建策略

1）創(chuàng)建地址列表

首先，我們須要?jiǎng)?chuàng)建一條address,用「策略所需的目的地址。點(diǎn)擊“Security”>“Policy

Elementsv>“AddressBook”,然后點(diǎn)擊"Add",在彈出的“AddAddress”窗口中,完成如

下配置，然后點(diǎn)擊“OK”即可。

吩咐行配置參考如下:

setsecurityzonessecurity-zonetrustaddress-bookaddresspc-2/32

2）創(chuàng)建服務(wù)列表

然后，我們還須要?jiǎng)?chuàng)建一條application,用于策略所需的目的端口。點(diǎn)擊“Security”>

uPolicyElementsMApplications然后點(diǎn)擊“Add”,在彈出的“AddanApplicationn窗

口中，完成如下配置，然后點(diǎn)擊“OK”即可。

吩咐行配置參考如下:

setapplicationsapplicationtcp-8080protocoltcp

setapplicationsapplicationtcp-8080source-port0-65535

setapplicationsapplicationtcp-8080destination-port8080-8080

setapplicationsapplicationtcp-8080inactivity-timeout1800

3）創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)

點(diǎn)擊“Security”>“Policy">"FWPolicies0,然后點(diǎn)擊“Add”創(chuàng)建一條從untrust到trust

的策略，在策略彈出窗口中，設(shè)置如下參數(shù)；

PolicyName：1

FromZone：untrust

ToZone：trust

SourceAddress：any

DestinaAddress：pc-2

Application：tcp-8080

PolicyAction：permit

如下圖所示，設(shè)置完成后，點(diǎn)擊“0K”即可

*SourceAddress

Address-BookMatched

any-ipv4田［any

any-ipv6s

□Addnewsourceaddress

*Applications

*ApplicationAppliesbons/Sets

any

junos-ftp

junos-tftp

junos-rtsp

junos-netbios-sesscn

Search:

吩咐行配置參考如下:

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchsource-addressany

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchdestination-addresspc-2

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplicationtcp-8080

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit

3.StaticNAT

拓?fù)淙缦?/p>

Un+rustTrust

oGe-0/0/4Ge-0/0/3

PC-l：00/24/24/24PC-3gl.1.3/24

00巨:8080廠^^|00|:8080|

100.L1.100|:80可?「00|:80利

(1)創(chuàng)建NAT規(guī)則

點(diǎn)擊“NAT”>StaticNAT”,點(diǎn)擊“Add”創(chuàng)建一條RuleSeto在“AddRuleSet”彈出

窗口中定義"RuleSetName”為nat-static,<4FromZone"選擇untrust,完成后再點(diǎn)擊“Add”

添加一條Rule,如下圖

AddRuleSet

在“AddRule”彈出窗口中,完成如下參數(shù)的配置，然后依次點(diǎn)擊“0K”即可。

RuleName：1

DestinationAddress：

StaticPrefix：

AddRule區(qū)

*RuleName:Q

Match

DestinationAddress:1100.1.1W

|OK][Cancel]

吩咐行配置參考如下：

setsecuritynatstaticrule-setnat-staticfromzoneuntrust

注：在SRX系列設(shè)備上做StaticNAT時(shí),在“destinationaddress"中，我們填寫的是映

射地址,在staticprefix中.我們填寫的是真實(shí)地址,即hostaddress。此處與Sc仕enOS系列

防火墻配置類似。

(2)創(chuàng)建策略

1)創(chuàng)建地址列表

首先，我們須要?jiǎng)?chuàng)建一條address,用于策略所需的目的地址。點(diǎn)擊“Security”>“Policy

Elementsn>“AddressBook”,然后點(diǎn)擊"Add”,在彈出的“AddAddress”窗口中，完成如

下配置，然后點(diǎn)擊“0K”即可。

吩咐行配置參考如下：

setsecurityzonessecurity-zonetrustaddress-bookaddresspc-3/32

2）創(chuàng)建服務(wù)列表

然后，我們還須要?jiǎng)?chuàng)建一條application,用于策略所需的目的端口。點(diǎn)擊"Security">

"PolicyElementsvApplications然后點(diǎn)擊“Add”,在彈出的“AddanApplicationn窗

口中，完成如下配置，然后點(diǎn)擊“OK”即可。

吩咐行配置參考如卜.:

setapplicationsapplicationtcp-8080protocoltcp

setapplicationsapplicationtcp-8080source-port0-65535

setapplicationsapplicationtcp-8080destination-port8080-8080

setapplicationsapplicationtcp-8080inactivity-timeout1800

3）創(chuàng)建策略并調(diào)用相關(guān)地址及服務(wù)

點(diǎn)擊“Security”>“Pclicy”>“FWPolicies然后點(diǎn)擊“Add”創(chuàng)建-條從untrust至ijtrust

的策略，在策略彈出窗口中，設(shè)置如下參數(shù)：

PolicyName：1

FromZone：untrust

ToZone：trust

SourceAddress：any-ipv4

DestinaAddress：pc-3

Application：tcp-8080

PolicyAction：permit

如下圖所示，設(shè)置完成后，點(diǎn)擊“OK”即可

然后，我們?cè)偬砑右粭l從trust到untrust的策略，如下圖所示，設(shè)置完成后點(diǎn)擊“。心

即可。

*Applications

"ApplicationApplkdtions/Sets

tcp-8080

junos-ftp

junos-tftp

junos-rtsp

junos-netbios-sessicn

V

Search:

[C^cel

吩咐行配置參考如下：

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchsource-addressany

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchdestination-addresspc-3

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplicationtcp-8080

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchsource-addresspc-3

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchdestination-addressany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2matchapplicationany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy2thenpermit

3、IPSecVPN配置

1.Site-to-SiteVPN

（1）基于策略的IPSecVPN（main模式）

拓?fù)淙缦?/p>

Untrust

SRX-1Gc-o/o/oSRX-2

/24-/24

Ge-0/0/3Gc-0/0/3

Trust10111/2420111/24Trust

PC-l：00/24PC-2：00/24

1）基本配置

首先依據(jù)拓?fù)浣o2臺(tái)SRX設(shè)備配置zone、interfaces及路由等相關(guān)信息。WebUI配置步

驟請(qǐng)參考本文其他相關(guān)章節(jié)。吩咐行配置參考如下：

SRX-1：

setinterfacesge-O/O/C

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesall

setinterfacesge-0/0/3

setsecurityzonessecurity-zonetrustinterfacesge-0/0/3.0

setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall

SRX-2：

setinterfacesge-O/O/Cunit0familyinetaddress/24

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0

setsecurityzonessectrity-zoneuntrusthost-inbound-trafficsystem-servicesall

setinterfacesge-0/0/3unit0familyinetaddress2

setsecurityzonessectrity-zonetrustinterfacesge-0/0/3.0

setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall

1

2）Phase1配置

運(yùn)用IKE配置IPSec隧道的Phase1,應(yīng)當(dāng)先創(chuàng)建proposal（假如運(yùn)用預(yù)定義的proposal,

則此步驟可略過(guò)）然后是ikepolicy,最終是gateway。

A.倉(cāng)1J建phase1proposal

點(diǎn)擊wIPSecVPNwAutoTunnelw>“PhaseI”，在當(dāng)前窗口下，點(diǎn)擊aProposalw,

然后點(diǎn)擊“Add”添加一條proposal,依據(jù)不同的需求，選擇相應(yīng)的算法及其他相關(guān)參數(shù),

如下圖所示

吩咐行配置參考如下:

SRX-1：

setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys

setsecurityikeproposalike-pro-1dh-groupgroup2

setsecurityikeproposalike-pro-1authentication-algorithmmd5

setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc

setsecurityikeproposalike-pro-1lifetime-seconds900

SRX-2：

setsecurityikeproposalike-pro-1authentication-methodpre-shared-keys

setsecurityikeproposalike-pro-1dh-groupgroup2

setsecurityikeproposalike-pro-1authentication-algorithmmd5

setsecurityikeproposalike-pro-1encryption-algorithmaes-128-cbc

setsecurityikeproposalike-pro-1lifetime-seconds900

B.創(chuàng)建IKEPolicy

點(diǎn)擊“IKEPolicy"，添加一條IKEPolicy。

在“AddPolicy”彈出窗口中,首先定義策略“Name”為汰e-policy-1；

然后選擇Mode為main；

假如VPN兩端的IP地址都是靜態(tài)IP,則可以選擇mainmode或者aggressivemode,假

如VPN兩端有隨意一端是動(dòng)態(tài)IP（如ADSL方式），則必需選擇aggressivemode。

最終選擇Proposal中，可以選擇預(yù)定義的proposal,如standard、basic或者compatible

等，也可以選擇自定義的proposal,如之前我們定義的“ike-pro-1”。在本例中,我僅選擇

的proposal為standard：：

如下圖所示：

MPobcy睦PokyOrtons

■Name:“poky」

DesWM:

Mode:[man

[?IPSecVPNPropowl

誦Pr?dofn?dRXxd

?AutoTunndOUserDefined

PropoalL?t:s

s

ke-pro-1s

s

.&rnan?cVWi

[<XJ[Caned

然后,在“IKEPolicyOptions”中，創(chuàng)建PreSharedKey,完成后點(diǎn)擊“OK”。

吩咐行配置參考如下:

SRX-1：

setsecurityikepolicyike-policy-1modemain

setsecurityikepolicyike-policy-1proposal-setstandard

setsecurityikepolicyike-policy-1pre-shared-keyascii-textjuniper

SRX-2：

setsecurityikepolicyike-policy-1modemain

setsecurityikepolicyike-policy-1proposal-setstandard

setsecurityikepolicyike-policy-1pre-shared-keyascii-textjuniper

C.倉(cāng)1J建Gateway

點(diǎn)擊”Gateway"，添加一條Gateway。

在“AddGateway”彈出窗口中，完成如下參數(shù):

Name：GwToSRX2

Policy：在下拉菜單中選擇之前創(chuàng)建的“ike-policy-l”

ExternalInterface：在下拉菜單中選擇出向端口，本例中為“ge-0/0/0”

SitetoSiteTunnel：勾選

Address/FQDN：填寫對(duì)端VPN網(wǎng)關(guān)IP,本例為

吩咐行配置參考如下:

SRX-1:

setsecurityikegatewayGwToSRX2ike-policyike-policy-1

setsecurityikegatewayGwToSRX2external-interfacege-0/0/0.0

SRX-2：

setsecurityikegatewayGwToSRXlike-policyike-policy-1

setsecurityikegatewayGwToSRXladdress

setsecurityikegatewayGwToSRXlexternal-interfacege-0/0/0.0

3）Phase2配置

配置IPSec隧道的Phase2,應(yīng)當(dāng)先配置phase2proposal（假如運(yùn)用預(yù)定義的proposal,

則此步驟可略過(guò)），然后配置IPSecpolicy,最終是AutokeyIKEo

A.倉(cāng)ij建phase2proposal

點(diǎn)擊“IPSecVPN”>44AutoTunnelv>“PhaseII”，在當(dāng)前窗口下點(diǎn)擊“Proposal”添加

一條proposal,在“AddProposal"彈出窗口下，完成如下參數(shù)的設(shè)置，然后點(diǎn)擊“OK”即

可。

Name：ipsec-pro-1

Authenticationalgorithm：hmac-md5-96

Encryptionalgorithm：3des-cbc

Lifetimeseconds：3600

吩咐行配置參考如卜.:

SRX-1：

setsecurityipsecproposalipsec-pro-1protocolesp

setsecurityipsecproposalipsec-pro-1authentication-algorithmhmac-md5-96

setsecurityipsecproposalipsec-pro-1encryption-algorithm3des-cbc

setsecurityipsecproposalipsec-pro-1lifetime-seconds3600

SRX-2：

setsecurityipsecproposalipsec-pro-1protocolesp

setsecurityipsecproposalipsec-pro-1authentication-algorithmhmac-m