《Juniper Netscreen模拟实例配置PPT.ppt》由会员分享,可在线阅读,更多相关《Juniper Netscreen模拟实例配置PPT.ppt(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Juniper Juniper NetscreenNetscreen 模拟实例配置模拟实例配置模拟实例配置模拟实例配置分公司分公司B总部总部A192.168.1.1801.1.1.11.1.1.14192.168.1.1ERPWEB192.168.1.1902.2.2.142.2.2.1192.168.2.13.3.3.143.3.3.1192.168.3.1合作伙伴合作伙伴CL2TPIPsecWEB Server的公网映射地址为1.1.1.12.2.2.2.0的子网掩码是255.255.255.240.1.1.1.0的子网掩码是255.255.255.240.3.3.3.0的子网掩码是255
2、.255.255.240.2总部总部A的基本配置的基本配置接口设置以及安全区的划分接口设置以及安全区的划分内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。内网网段为192.168.1.0/24,Trust接口地址为192.168.1.1。公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone。公网路由器的地址为1.1.1.14/28,Untrust接口为1.1.1.1/28。设置默认路由设置默认路由将默认路由指向公网路由器的地址,将出口指向Untrust接口。设置内网(设置内网(Trust)到外网()到外网(Untrust)的访问
3、策略)的访问策略 3内网接口(内网接口(Trust Interface)的设置)的设置将将TrustTrust口绑定到口绑定到Trust ZoneTrust Zone设置接口设置接口IPIP地址地址4外网接口(外网接口(Untrust Interface)的设置)的设置如果允许在外网进如果允许在外网进行网管请打开相关行网管请打开相关选项选项5默认路由的设置默认路由的设置0.0.0.0/00.0.0.0/0代表代表默认路由默认路由指定出口以及网指定出口以及网关地址关地址6内网(内网(Trust)到外网()到外网(Untrust)的访问策略)的访问策略AnyAny代表任意地址代表任意地址允许内网访
4、问外允许内网访问外网网7总部总部A的地址映射的地址映射/服务器访问设置服务器访问设置WEB服务器(服务器(真实地址真实地址192.168.1.180;公网映射地址;公网映射地址1.1.1.12)在Untrust接口上设置MIP,做1vs1的地址映射。通过设置策略允许外网访问MIP上的WEB服务(80端口)。ERP服务器服务器设置ERP服务器的真实地址 192.168.1.190。设置ERP服务器的应用服务(TCP8888端口)。设置B公司的内网地址段:192.168.2.0/24。设置C公司的内网地址段:192.168.3.0/24。通过设置策略允许B、C公司可以通过VPN隧道访问ERP服务器
5、。8在在Untrust接口设置接口设置MIP在这里输入公网在这里输入公网地址地址在这里输入真实在这里输入真实服务器地址服务器地址9设置策略允许外网访问设置策略允许外网访问WEB服务器服务器在目的地址里选在目的地址里选择择MIPMIP地址。地址。在服务里选择在服务里选择HTTPHTTP。10设置设置ERP服务器的应用服务(服务器的应用服务(TCP 8888)在这里选择端在这里选择端口号口号11设置设置ERP服务器的真实地址服务器的真实地址 192.168.1.190192.168.1.190单台主机的掩单台主机的掩码使用码使用/32/32。12设置设置ERP服务器的应用服务(服务器的应用服务(T
6、CP 8888)在这里选择端在这里选择端口号口号13设置设置B公司的内网地址段公司的内网地址段 192.168.2.0/24192.168.2.0/24该地址对于该地址对于A A来说是来说是从属于从属于Untrust ZoneUntrust Zone的。的。14设置设置C公司的内网地址段公司的内网地址段 192.168.3.0/24192.168.3.0/24该地址对于该地址对于A A来说是来说是从属于从属于Untrust ZoneUntrust Zone的。的。15设置策略允许设置策略允许B公司访问公司访问ERP服务器服务器16设置策略允许设置策略允许C公司访问公司访问ERP服务器服务器17
7、总部总部A的总体安全策略的总体安全策略对于分公司对于分公司B的访问的访问总部A可以无限制访问分公司B的内网;对于公网的访问对于公网的访问仅允许许http/https/dns/icmp/smtp/pop3/ftp/msn这八种服务。分公司分公司B对于总部对于总部A的访问的访问分公司B可以无限制访问总部A的内网;取消前面设定的默认策略取消前面设定的默认策略撤销原先的内网对公网的默认策略18设置策略允许总部设置策略允许总部A访问分公司访问分公司B19设置策略允许总部设置策略允许总部A访问公网的几种特定服务访问公网的几种特定服务点击它,则弹出选择点击它,则弹出选择服务的菜单。服务的菜单。20设置策略允
8、许分公司设置策略允许分公司B访问总部访问总部A21取消默认策略取消默认策略/重复的策略重复的策略22分公司分公司B的基本配置的基本配置 设置方法参考设置方法参考设置方法参考设置方法参考A A接口设置以及安全区的划分接口设置以及安全区的划分内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。内网网段为192.168.2.0/24,Trust接口地址为192.168.2.1。公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone。公网路由器的地址为2.2.2.14/28,Untrust接口为2.2.2.1/28。设置默认路由设置默认路由将
9、默认路由指向公网路由器的地址,将出口指向Untrust接口。设置内网(设置内网(Trust)到外网()到外网(Untrust)的访问策略)的访问策略 23公司公司C的基本配置的基本配置 设置方法参考设置方法参考设置方法参考设置方法参考A A 接口设置以及安全区的划分接口设置以及安全区的划分内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。内网网段为192.168.3.0/24,Trust接口地址为192.168.3.1。公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone。公网路由器的地址为3.3.3.14/28,Untrust接
10、口为3.3.3.1/28。设置默认路由设置默认路由将默认路由指向公网路由器的地址,将出口指向Untrust接口。设置内网(设置内网(Trust)到外网()到外网(Untrust)的访问策略)的访问策略 24总部总部A与分公司与分公司B之间的之间的Site to Site VPN 总部总部A部分的部分的Site to Site VPN设置设置VPN Gateway的设置VPN 的设置路由的设置分公司分公司B部分的部分的Site to Site VPN设置设置VPN Gateway的设置VPN的设置路由的设置 25总部总部A Gateway的设置的设置对方对方VPNVPN设备的网关设备的网关选择选
11、择VPNVPN通道的出口通道的出口26总部总部A Gateway的设置的设置 高级选项高级选项高级选项高级选项VPNVPN双方的模式必须一致双方的模式必须一致27总部总部A Tunnel Interface的设置的设置 Tunnel InterfaceTunnel Interface的地址借用的地址借用UntrustUntrust接口的地址接口的地址28总部总部A IKE VPN配置配置在下拉菜单选取前面定义在下拉菜单选取前面定义的的IKE GatewayIKE Gateway29总部总部A IKE VPN配置配置 高级选项高级选项高级选项高级选项绑定绑定tunnel.1tunnel.1接口接
12、口 填入本地填入本地/远端地址段远端地址段30总部总部A 路由的设置路由的设置写入分公司写入分公司B B内网的内网的地址地址 选择选择tunnel.1tunnel.1作为出口作为出口31分公司分公司B Gateway的设置的设置对方对方VPNVPN设备的网关设备的网关选择选择VPNVPN通道的出口通道的出口32分公司分公司B Gateway的设置的设置 高级选项高级选项高级选项高级选项VPNVPN双方的模式必须一致双方的模式必须一致33分公司分公司B Tunnel Interface的设置的设置 Tunnel InterfaceTunnel Interface的地址借用的地址借用Untrust
13、Untrust接口的地址接口的地址34分公司分公司B IKE VPN配置配置在下拉菜单选取前面定义在下拉菜单选取前面定义的的IKE GatewayIKE Gateway35分公司分公司B IKE VPN配置配置 高级选项高级选项高级选项高级选项绑定绑定tunnel.1tunnel.1接口接口 填入本地填入本地/远端地址段远端地址段36分公司分公司B 路由的设置路由的设置选择选择tunnel.1tunnel.1作为出口作为出口B B公司所有的对外访公司所有的对外访问都要通过到总部问都要通过到总部A A的的VPNVPN隧道;故选择隧道;故选择0.0.0.0/00.0.0.0/0的默认路由的默认路由
14、37总部总部A与公司与公司C之间的之间的Site to Site VPN 总部总部A部分的部分的Site to Site VPN设置设置VPN Gateway的设置VPN 的设置VPN策略设置公司公司C部分的部分的Site to Site VPN设置设置VPN Gateway的设置VPN的设置VPN策略设置 38总部总部A Gateway的设置的设置对方对方VPNVPN设备的网关设备的网关选择选择VPNVPN通道的出口通道的出口39总部总部A Gateway的设置的设置 高级选项高级选项高级选项高级选项VPNVPN双方的模式必须一致双方的模式必须一致40总部总部A IKE VPN配置配置在下拉
15、菜单选取前面定义在下拉菜单选取前面定义的的IKE GatewayIKE Gateway41总部总部A IKE VPN配置配置 高级选项高级选项高级选项高级选项42总部总部A VPN策略的设置策略的设置ActionAction选择选择Tunnel Tunnel 选择选择A A到到C C的的VPNVPN43总部总部C Gateway的设置的设置对方对方VPNVPN设备的网关设备的网关选择选择VPNVPN通道的出口通道的出口44总部总部C Gateway的设置的设置 高级选项高级选项高级选项高级选项VPNVPN双方的模式必须一致双方的模式必须一致45总部总部C IKE VPN配置配置在下拉菜单选取前
16、面定义在下拉菜单选取前面定义的的IKE GatewayIKE Gateway46总部总部C IKE VPN配置配置 高级选项高级选项高级选项高级选项47总部总部C VPN策略的设置策略的设置ActionAction选择选择Tunnel Tunnel 选择选择C C到到A A的的VPNVPN48远程用户远程用户1通过通过IPsec Dialup VPN访问总部访问总部APhase 1 部分部分 IKE Gateway VPN的向外接口IKE Gateway 地址Phase 1 协议Pre-shared KeyDiffie-Hellman group numberEncryption Algori
17、thmAuthentication AlgorithmPhase 2 部分部分 VPN n名称Phase 2 proposalDiffie-Hellman group number for PFS(optional)IPSec protocol(ESP or AH)Encryption AlgorithmAuthentication AlgorithmVPN 安全策略安全策略Netscreen Remote 客户端的设置客户端的设置Dial-up User 设定部分设定部分 设定用户的IKE ID49配置配置Dial-up用户用户设置设置IKE ID设定其它值会导致异常设定其它值会导致异常客户
18、端也须配置两者须客户端也须配置两者须一致一致50配置配置dialup VPN GatewayIKE Phase 1 选择选择dialup userdialup user,并在对应下拉,并在对应下拉菜单选择我们刚才设定的用户。菜单选择我们刚才设定的用户。设置共享密钥,客户端也须设置共享密钥,客户端也须设置相同的值(最少设置相同的值(最少8 8位)位)51配置配置dialup VPN Gateway 高级选项高级选项高级选项高级选项IKE Phase 1 注意注意dial-up VPNdial-up VPN使用使用AggressiveAggressive模式模式如果如果VPNVPN连接中有连接中有
19、NATNAT存在,存在,请勾选此项,开启穿透功能;请勾选此项,开启穿透功能;并做并做UDP ChecksumUDP Checksum检查检查52配置配置 dialup VPNIKE Phase 2在下拉菜单选取前面在下拉菜单选取前面定义的定义的IKE GatewayIKE Gateway53配置配置dialup VPN 高级选项高级选项高级选项高级选项IKE Phase 2VPNs AutoKey IKE Edit(Advanced)54总部总部A VPN策略的设置策略的设置ActionAction选择选择Tunnel Tunnel 选择选择dialup VPNdialup VPN源地址选择源
20、地址选择Dial-Up Dial-Up VPNVPN(系统自定义)(系统自定义)55Netscreen Remote远程客户端的配置远程客户端的配置 01新建一个连接,新建一个连接,取名后,点中它,取名后,点中它,出现右方基本配出现右方基本配置界面。置界面。在该选项中输入我们的目在该选项中输入我们的目标地址,即安全网关后面标地址,即安全网关后面的内部子网的内部子网/主机的地址。主机的地址。选中该选项,并在选中该选项,并在IDID中选中选取取IP AddressIP Address,输入安全,输入安全网关的外网口地址。网关的外网口地址。56Netscreen Remote远程客户端的配置远程客户
21、端的配置 02点击新建连接的点击新建连接的加号键,点中加号键,点中My My IdentityIdentity进行设置进行设置在在SelectSelect中选择中选择NoneNone;在在Pre-Shared KeyPre-Shared Key中输中输入与前面安全网关入与前面安全网关GatewayGateway配置中一致的配置中一致的值。值。在在IDID选项中选择选项中选择E-mail E-mail AddressAddress,然后输入与前,然后输入与前面安全网关面安全网关Dial-up Dial-up 用户用户配置中一致的值。配置中一致的值。57Netscreen Remote远程客户端的
22、配置远程客户端的配置 03选中选中Security Security PolicyPolicy进行设置。进行设置。在在Select Phase 1 Select Phase 1 Negotiation ModeNegotiation Mode中选择中选择Aggressive ModeAggressive Mode。根据前面在安全网关中根据前面在安全网关中IKE IKE VPNVPN中中Phase 2 ProposalPhase 2 Proposal选选择的不同,选择是否使用择的不同,选择是否使用PFSPFS。58Netscreen Remote远程客户端的配置远程客户端的配置 04选中选中Pr
23、oposal 1,Proposal 1,进行进行Phase 1Phase 1的设的设置。置。根据前面在安全网关中根据前面在安全网关中IKE IKE GatewayGateway中中Phase Phase 1Proposal1Proposal的选择,选择一的选择,选择一致的选项。致的选项。59Netscreen Remote远程客户端的配置远程客户端的配置 05选中选中Proposal 2,Proposal 2,进行进行Phase 2Phase 2的设的设置。置。根据前面在安全网关中根据前面在安全网关中IKE IKE VPNVPN中中Phase 2ProposalPhase 2Proposal的
24、的选择,选择一致的选项。选择,选择一致的选项。60远程用户远程用户2通过通过L2TP VPN访问总部访问总部A的的ERP服务器服务器L2TP Tunnel的设置的设置 VPN 安全策略安全策略Windows客户端的设置客户端的设置 L2TP User 设定部分设定部分 设定L2TP用户名/密码61配置配置L2TP用户用户设定用户名设定用户名分配给分配给L2TPL2TP用户的地址用户的地址设定密码设定密码62配置配置L2TP Tunnel选择选择TunnelTunnel的接口的接口选择选择L2TPL2TP用户用户63L2TP Tunnel策略的设置策略的设置ActionAction选择选择Tunnel Tunnel 选择选择L2TP TunnelL2TP Tunnel源地址选择源地址选择Dial-Up Dial-Up VPNVPN(系统自定义)(系统自定义)64Windows 客户端的配置客户端的配置 0165Windows 客户端的配置客户端的配置 0266Windows 客户端的配置客户端的配置 0367Windows 客户端的配置客户端的配置 0468Windows 客户端的配置客户端的配置 0569Windows 客户端的配置客户端的配置 0670Windows 客户端的配置客户端的配置 0771