Juniper NetScreen500使用手册一Word文档下载推荐.docx
《Juniper NetScreen500使用手册一Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Juniper NetScreen500使用手册一Word文档下载推荐.docx(35页珍藏版)》请在冰豆网上搜索。
1.00
initial初稿完成
目录
1NetScreen-500的产品5
1.1简介5
1.2主要产品特点:
5
2几个概念6
2.1安全区6
2.2虚拟路由器6
2.3接口模式6
3简单配置7
3.1遗失Admin口令应急办法7
3.2常用管理命令8
3.3路由协议8
3.3.1OSPF8
3.3.2RIP8
3.3.3BGP9
3.4WEB页管理9
4JuniperNetScreen-500与QuidwaySecPath-1000互通实例10
4.1网络拓扑图11
4.2NetScreen-500基于策略自动协商SecPath-1000自动协商参数缺省11
4.2.1JuniperNetScreen-500配置11
4.2.2QuidwaySecPath-1000配置14
4.2.3JuniperNetScreen-500显示15
4.2.4QuidwaySecPath-1000显示16
4.3NetScreen-500基于策略手工方式SecPath-1000手工方式参数缺省18
4.3.1JuniperNetScreen-500配置18
4.3.2QuidwaySecPath-1000配置21
4.3.3JuniperNetScreen-500显示22
4.3.4QuidwaySecPath-1000显示24
4.4NetScreen-500基于策略动态配置SecPath-1000自动协商参数缺省25
4.4.1JuniperNetScreen-500配置25
4.4.2QuidwaySecPath-1000配置28
4.4.3JuniperNetScreen-500显示30
4.4.4QuidwaySecPath-1000显示32
4.5NetScreen-500基于策略自动协商SecPath-1000动态配置参数缺省34
4.5.1JuniperNetScreen-500配置34
4.5.2QuidwaySecPath-1000配置37
4.5.3JuniperNetScreen-500显示39
4.5.4QuidwaySecPath-1000显示40
JuniperNetScreen-500使用手册
(一)
1NetScreen-500的产品
1.1简介
NetScreen-500为Juniper公司状态检验的整和式系统安全产品,它整合了防火墙、VPN及流量管理的功能,仅占用2U的机架空间。
它是一款高性能的产品,不但具有备援能力,而且管理容易,并支援多重安全网域。
NetScreen-500是一独特平台,兼具NetScreen-1000及NetScreen-100的优点。
NetScreen-500是依据模块概念设计,具备多项出众的性能。
另外,在备援功能上还设有高可用性交换口、管理接口和四个流量模块,还有一个可制定程序的LCD,以便管理者远端设置。
✧700Mbps防火墙和NAT传输速率
✧250Mbps3DESVPN传输速率
✧能处理250,000个并发会话
✧每秒处理22,000个新会话
✧10,000个VPN通道
✧25个虚拟系统,100个VLAN
✧NAT,路由及透明模式运作
✧基于策略的NAT
✧支援中转站VPN
✧与Websense内容过滤方案兼容
✧10/100双交换端口或GBIC(SX或LX接受器)模块卡
✧背援高可用性介面
✧10/100传输带宽以外的监管能力
✧可制定式LCD
2几个概念
2.1安全区
安全区是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。
安全区是绑定了一个或多个接口的逻辑实体。
通过多种类型的NetScreen设备,您可以定义多个安全区,确切数目可根据网络需要来确定。
除用户定义的区段外,您还可以使用预定义的区段:
Trust、Untrust和DMZ(用于第3层操作),或者V1-Trust、V1-Untrust和V1-DMZ(用于第2层操作)。
利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的网络设计
2.2虚拟路由器
虚拟路由器(VR)的功能与路由器相同。
它拥有自己的接口和路由表。
在ScreenOS中,NetScreen设备支持两个预定义的虚拟路由器,从而允许NetScreen设备维护两个单独的路由表,并隐藏虚拟路由器彼此之间的路由信息。
例如,untrust-vr通常用来与不可信方进行通信,并且不含有保护区段的任何路由信息。
保护区段的路由信息由trust-vr进行维护。
因此,通过从untrust-vr中秘密提取路由的方式,搜集不到任何内部网络信息。
NetScreen设备上存在两个虚拟路由器时,即使存在允许信息流的策略,也不能在驻留于不同VR中的区段之间自动转发信息流。
如果希望信息流在虚拟路由器之间传递,则需要导出VR之间的路由或在一个VR中配置静态路由将另一个VR定义为下一跳。
2.3接口模式
三种不同模式:
网络地址转换(NAT)、路由和透明。
接口为透明模式时,NetScreen设备过滤通过防火墙的封包,而不会修改IP封包包头中的任何源或目的地信息。
所有接口运行起来都像是同一网络中的一部分,而NetScreen设备的作用更像是第2层交换机或桥接器。
在透明模式下,接口的IP地址被设置为0.0.0.0,使得NetScreen设备对于用户来说是可视或“透明”的。
入口接口处于“网络地址转换(NAT)”模式下时,NetScreen设备的作用与第3层交换机(或路由器)相似,将通往Untrust区段的外向IP封包包头中的两个组件进行转换:
其源IP地址和源端口号。
NetScreen设备用Untrust区段接口的IP地址替换发端主机的源IP地址。
另外,它用另一个由NetScreen设备生成的任意端口号替换源端口。
接口为路由模式时,NetScreen设备在不同区段间转发信息流时不执行源NAT(NAT-src);
即,当信息流穿过NetScreen设备时,IP封包包头中的源地址和端口号保持不变。
与NAT-src不同,目的地区段接口为路由模式时,不需要为了允许入站信息流到达主机而建立映射IP(MIP)和虚拟IP(VIP)地址。
与透明模式不同,每个区段内的接口都在不同的子网中。
NetScreen设备的缺省行为是拒绝安全区内部的所有信息流(区段内部信息流)(Untrust区段内的信息流除外),并允许绑定到同一区段的接口间的所有信息流(区段内部信息流)。
为了允许选定的区段内部信息流通过NetScreen设备,必须创建覆盖缺省行为的区段内部策略。
同样,为了防止选定的区段内部信息流通过NetScreen设备,必须创建区段内部策略。
3简单配置
3.1遗失Admin口令应急办法
用控制面板上的菜单进行设置。
在登陆、口令提示符下键入序列号
将出现下面信息:
!
LostPasswordReset!
Youhaveinitiatedacommandtoresetthedevicetofactorydefaults,clearingallcurrentconfiguration,keysandsettings.Wouldyouliketocontinues?
y/[n]
键入Y
ReconfirmLostPasswordReset!
Ifyoucontinue,theentireconfigurationofthedevicewillbeerased.inaddition,apermanentcounterwillbeincrementedtosignfythatthisdevicehasbeenreset.Thisisyoulastchancetocancelthiscommand.Ifyouproceed,thedevicewillreturntofactorydefaultconfiguration,whichis:
SystemIP:
192.168.1.1;
username:
netscreen;
password:
netscreen.Wouldyouliketocontinue?
y/[n]
键入“Y”,然后重启NetScreen-500,就可以登陆了。
3.2常用管理命令
setadminnamename_str用户名
setadminpasswordpswd_str密码
setinterface设置接口
setinterfacemgtipip_addr/mask设置管理接口
setinterfacezone
getinterface显示接口信息
getconfig显示配置信息
getsystem显示系统信息
3.3路由协议
为描述方便,未声明之处缺省接口在trust区,虚拟路由器为trust-vr。
3.3.1OSPF
setvroutertrust-vrrouter-id路由器ID
setvroutertrust-vrprotocolospfOSPF路由实例
setvroutertrust-vrprotocolospfenable
setvroutertrust-vrprotocolospfarea区域号OSPF区域号
setinterface接口protocolospfarea区域号在接口上启用
setinterface接口protocolospfenable
3.3.2RIP
setvroutertrust-vrprotocolripRIP路由实例
setvroutertrust-vrprotocolripenable
setinterfacetrustprotocolripenable在接口上启用
3.3.3BGP
setvroutertrust-vrprotocolbgp自治区号BGP路由实例
setvroutertrust-vrprotocolbgpenable
setinterface接口protocolbgp在接口上启用BGP
setvroutertrust-vrprotocolbgpneighborxx.xx.xx.xxremote-as自治区号
配置BGP对等方
setvroutertrust-vrprotocolbgpneighborxx.xx.xx.xxenable
save保存设置
3.4WEB页管理
4JuniperNetScreen-500与QuidwaySecPath-1000互通实例
VPN支持的NetScreen设备的配置非常灵活。
可以创建基于路由和基于策略的VPN通道。
利用基于策略的VPN通道,通道被当作对象(或构件块),与源、目标、服务和动作一起,组成允许VPN信息流的策略。
(实际上,VPN策略动作是tunnel,但如果未申明,则暗指动作permit)。
在基于策略的VPN配置中,策略专门按名称引用VPN通道。
利用基于路由的VPN,策略不专门引用VPN通道。
相反,策略引用目的地址。
NetScreen设备进行路由查询以找到必须通过其发送信息流到达该地址的接口时,通过通道接口找到路由,它被绑定到特定VPN通道1。
限于篇幅,以下例子均以基于策略方式建立VPN。
4.1网络拓扑图
4.2NetScreen-500基于策略自动协商SecPath-1000自动协商参数缺省
4.2.1JuniperNetScreen-500配置
ns-500->
getconfig
getconfig
TotalConfigsize2831:
setclocktimezone0
setvroutertrust-vrsharable
unsetvrouter"
trust-vr"
auto-route-export
setauth-server"
Local"
id0
server-name"
setauthdefaultauthserver"
setadminname"
cisco"
setadminpassword"
nGQ8Mor7P91AcDdFBs3AbZHt6UK1Nn"
setadminscspassworddisableusernamecisco
setadminauthtimeout10
setadminauthserver"
setadminformatdos
setzone"
Trust"
vrouter"
Untrust"
DMZ"
VLAN"
tcp-rst
block
unsetzone"
screentear-drop
screensyn-flood
screenping-death
screenip-filter-src
screenland
V1-Untrust"
setinterface"
ethernet1/1"
zone"
ethernet3/1"
setinterfaceethernet1/1ip10.1.1.1/24
setinterfaceethernet1/1nat
setinterfaceethernet3/1ip12.1.1.1/24
setinterfaceethernet3/1route
unsetinterfacevlan1ip
setinterfacemgtip10.153.102.187/23
unsetinterfacevlan1bypass-others-ipsec
unsetinterfacevlan1bypass-non-ip
setinterfaceethernet1/1ipmanageable
setinterfaceethernet3/1ipmanageable
setinterfaceethernet3/1manageping
setconsoletimeout0
sethostnamens-500
setaddress"
"
netscreen_lan"
10.1.1.0255.255.255.0
secpath_lan"
20.2.2.0255.255.255.0
setikegateway"
to_secpath"
address12.1.1.2Mainoutgoing-interface"
preshare"
ncApF+XIN3asYrskcmCTXriNFznu3gko4A=="
proposal"
pre-g1-des-sha"
setikerespond-bad-spi1
setvpn"
netscreen_secpath"
gateway"
no-replaytunnelidletime0proposal"
nopfs-esp-des-md5"
setpkiauthoritydefaultscepmode"
auto"
setpkix509defaultcert-pathpartial
setpolicyid3name"
from"
to"
ANY"
tunnelvpn"
id2pair-policy2
setpolicyid2name"
id2pair-policy3
setpolicyid1from"
Any"
permit
proxy-idlocal-ip10.1.1.1/32remote-ip20.2.2.2/32"
setsshversionv2
setconfiglocktimeout5
setsnmpportlisten161
setsnmpporttrap162
setvrouter"
untrust-vr"
exit
unsetadd-default-route
setroute0.0.0.0/0interfaceethernet3/1
4.2.2QuidwaySecPath-1000配置
<
SecPath-1000>
discur
#
sysnameSecPath-1000
ikepeerpeer
pre-shared-keyvpn
remote-address12.1.1.1
ipsecproposalvpn
ipsecpolicyvpnmap10isakmp
securityacl3000
ike-peerpeer
proposalvpn
interfaceAux0
asyncmodeflow
link-protocolppp
interfaceGigabitEthernet0/0
ipaddress12.1.1.2255.255.255.0
ipsecpolicyvpnmap
interfaceGigabitEthernet0/1
ipaddress20.2.2.2255.255.255.0
interfaceNULL0
aclnumber3000
rule0permitipsource20.2.2.20destination10.1.1.10
rule1denyip
iproute-static10.1.1.0255.255.255.012.1.1.1preference60
user-interfacecon0
user-interfaceaux0
user-interfacevty04
return
4.2.3JuniperNetScreen-500显示
getsaact
getsaact
Totalactivesa:
1
totalconfiguredsa:
HEXIDGatewayPortAlgorithmSPILife:
seckbStaPIDvsys
00000002<
12.1.1.2-500esp:
des/md5743a4ae135741799MA/-30
00000002>
des/md53d9d264f35741799MA/-20
getsastat
getsastat
HEXIDGatewayFragmentAu