欢迎来到天天文库
浏览记录
ID:33591925
大小:1.52 MB
页数:17页
时间:2019-02-27
《juniper_ssg系列_基于路由的站点到站点vpn配置[1]》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、JuniperSSG系列防火墙基于路由的站点到站点VPN配置本次配置使用的是SSG140和SSG20来做站点到站点的基于路由的VPN(两端地址都为静态IP地址)。下图是拓扑图:我们是在公司内部做配置,所以把外网口直接连接,我们在实验中用ip1.1.1.2来代替图中的2.2.2.2,这样确保路由没有问题,模拟下图的环境首先我们说一下配置的思路:配置基于路由的站点到站点VPN:1.为绑定到安全区段和通道接口的物理接口分配IP地址。2.配置VPN通道,在Untrust区段内指定其外向接口,将其绑定到通道接口,并配置其代理ID。3.在Trust和Untrust区段的通讯簿中输
2、入本地及远程端点的IP地址。4.输入通向trust-vr中外部路由器的缺省路由、通过通道接口通向目标的路由以及通向目标的Null路由。为Null路由分配较高的度量(远离零),以便其成为通向目标的下一个可选路由。接着,如果通道接口的状态变为“中断”,且引用该接口的路由变为非活动,则安全设备会使用Null路由(即实质上丢弃了发送给它的任何信息流),而不使用缺省路由(即转发未加密的信息流)。5.为每个站点间通过的VPN流量设置策略。以下配置为SSG140防火墙初始化防火墙Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为:1
3、92.168.1.1/255.255.255.0。可以直接通过WEB来进行配置,但容易发生错误,建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。1、我们先配置接口eth0/0绑定到trust安全区段,并设置IP为192.168.1.3/24,通过console口来配置:(先配置SSG140,登录的用户名和密码为默认密码:均为netscreen)SSG140->unsetinterfaceethernet0/0ipSSG140->setinterfaceethernet0/0zonetrustSSG140->setinterfaceethernet0/
4、0ip192.168.1.3/24SSG140->setinterfaceethernet0/0managewebSSG140->saveSaveSystemConfiguration...接下来我们就可以用WEB来管理设备,推荐使用IE浏览器:在IE浏览器地址栏里输入http://192.168.1.3用户名和密码均为:netscreen2、配置其它安全区段并配置地址定义内网接口Network>Interfaces>Edit(对于ethernet0/1):修改红线部分,然后单击Apply:A.ZoneName:这是定义内部LAN的IP,所以应该在Trust安全区段B
5、.StaticIP:我们做的是静态IP地址的实验(管理地址应和内网接口地址在同一网段)C.ManagementServices:打开相应的管理服务,以方便远程管理。D.Otherservices:允许ping,方便测试和维护。定义外网接口:Network>Interfaces>Edit(对于ethernet0/3):修改红线部分,然后单击Apply:A.ZoneName:这是定义外部接口,所以应该在Untrust安全区段B.StaticIP:我们做的是静态IP地址的实验(管理地址应和内网接口地址在同一网段)C.ManagementServices:根据需要打开相应的管
6、理服务,以方便远程管理。D.Otherservices:允许ping,方便测试和维护。定义通道接口:Network>Interfaces>NewTunnelIF:修改红线部分,然后单击OK:A.Zone(VR):通道接口绑定到Untrust区段B.Unnumbered:选择绑定的接口定义内部LAN地址薄:(方便在策略里引用)Objects>Addresses>List>New:,修改红线部分,然后单击OK:A.AddressName:建立一个标识身份的名称B.IPAdress/Netmask:输入IP地址和子网掩码,24位表示一个网段C.Zone:选择相应的区段定义对
7、端LAN地址薄:Objects>Addresses>List>New:,修改红线部分,然后单击OKA.AddressName:建立一个标识身份的名称B.IPAdress/Netmask:输入对端IP地址和子网掩码,24位表示一个网段C.选择相应的区段VPN配置:第一阶段:VPNs>AutoKeyAdvanced>Gateway>New:修改红线部分,:预共享密钥为:123456A.GatewayName:到达对端的网关地址。B.SecurityLevel:选择Custom两方要一致C.StaticIPAddress:静态IP地址D.Preshared
此文档下载收益归作者所有
![juniper_ssg系列_基于路由的站点到站点vpn配置[1]_第1页](https://f25.wenku365.com/file-convert/2021/07/02/05/27/6414658e2368e233e9d926a08a352d22/img/1.jpg)
![juniper_ssg系列_基于路由的站点到站点vpn配置[1]_第2页](https://f25.wenku365.com/file-convert/2021/07/02/05/27/6414658e2368e233e9d926a08a352d22/img/2.jpg)
![juniper_ssg系列_基于路由的站点到站点vpn配置[1]_第3页](https://f25.wenku365.com/file-convert/2021/07/02/05/27/6414658e2368e233e9d926a08a352d22/img/3.jpg)
![juniper_ssg系列_基于路由的站点到站点vpn配置[1]_第4页](https://f25.wenku365.com/file-convert/2021/07/02/05/27/6414658e2368e233e9d926a08a352d22/img/4.jpg)
![juniper_ssg系列_基于路由的站点到站点vpn配置[1]_第5页](https://f25.wenku365.com/file-convert/2021/07/02/05/27/6414658e2368e233e9d926a08a352d22/img/5.jpg)
