收藏
下载资源下载资源 加入VIP,免费下载

Juniper NetScreen500使用手册一.docx

上传人:b****6 文档编号:3874838 上传时间:2022-11-26 格式:DOCX 页数:35 大小:350.23KB
下载 相关 举报
Juniper NetScreen500使用手册一.docx_第1页
第1页 / 共35页
Juniper NetScreen500使用手册一.docx_第2页
第2页 / 共35页
Juniper NetScreen500使用手册一.docx_第3页
第3页 / 共35页
Juniper NetScreen500使用手册一.docx_第4页
第4页 / 共35页
Juniper NetScreen500使用手册一.docx_第5页
第5页 / 共35页
点击查看更多>>
下载资源
资源描述

Juniper NetScreen500使用手册一.docx

《Juniper NetScreen500使用手册一.docx》由会员分享,可在线阅读,更多相关《Juniper NetScreen500使用手册一.docx(35页珍藏版)》请在冰豆网上搜索。

Juniper NetScreen500使用手册一.docx

JuniperNetScreen500使用手册一

华为三康技术有限公司

Huawei-3ComTechnologiesCo.,Ltd.

文档编号DocumentID

密级Confidentialitylevel

内部公开

文档状态DocumentStatus

共42页Total42pages

Draft1.00

JuniperNetScreen-500使用手册

(一)

拟制

Preparedby

刘永忠

Date

日期

2004-11-01

评审人

Reviewedby

Date

日期

批准

Approvedby

Date

日期

华为三康技术有限公司

Huawei-3ComTechnologiesCo.,Ltd.

版权所有XX

Allrightsreserved

修订记录RevisionRecord

日期

Date

修订

版本

RevisionVersion

修改

章节

SecNo.

修改描述

ChangeDescription

作者

Author

2004-11-01

1.00

initial初稿完成

刘永忠

目录

1NetScreen-500的产品5

1.1简介5

1.2主要产品特点:

5

2几个概念6

2.1安全区6

2.2虚拟路由器6

2.3接口模式6

3简单配置7

3.1遗失Admin口令应急办法7

3.2常用管理命令8

3.3路由协议8

3.3.1OSPF8

3.3.2RIP8

3.3.3BGP9

3.4WEB页管理9

4JuniperNetScreen-500与QuidwaySecPath-1000互通实例10

4.1网络拓扑图11

4.2NetScreen-500基于策略自动协商SecPath-1000自动协商参数缺省11

4.2.1JuniperNetScreen-500配置11

4.2.2QuidwaySecPath-1000配置14

4.2.3JuniperNetScreen-500显示15

4.2.4QuidwaySecPath-1000显示16

4.3NetScreen-500基于策略手工方式SecPath-1000手工方式参数缺省18

4.3.1JuniperNetScreen-500配置18

4.3.2QuidwaySecPath-1000配置21

4.3.3JuniperNetScreen-500显示22

4.3.4QuidwaySecPath-1000显示24

4.4NetScreen-500基于策略动态配置SecPath-1000自动协商参数缺省25

4.4.1JuniperNetScreen-500配置25

4.4.2QuidwaySecPath-1000配置28

4.4.3JuniperNetScreen-500显示30

4.4.4QuidwaySecPath-1000显示32

4.5NetScreen-500基于策略自动协商SecPath-1000动态配置参数缺省34

4.5.1JuniperNetScreen-500配置34

4.5.2QuidwaySecPath-1000配置37

4.5.3JuniperNetScreen-500显示39

4.5.4QuidwaySecPath-1000显示40

JuniperNetScreen-500使用手册

(一)

1NetScreen-500的产品

1.1简介

  NetScreen-500为Juniper公司状态检验的整和式系统安全产品,它整合了防火墙、VPN及流量管理的功能,仅占用2U的机架空间。

它是一款高性能的产品,不但具有备援能力,而且管理容易,并支援多重安全网域。

NetScreen-500是一独特平台,兼具NetScreen-1000及NetScreen-100的优点。

NetScreen-500是依据模块概念设计,具备多项出众的性能。

另外,在备援功能上还设有高可用性交换口、管理接口和四个流量模块,还有一个可制定程序的LCD,以便管理者远端设置。

 

1.2主要产品特点:

✧700Mbps防火墙和NAT传输速率

✧250Mbps3DESVPN传输速率

✧能处理250,000个并发会话

✧每秒处理22,000个新会话

✧10,000个VPN通道

✧25个虚拟系统,100个VLAN

✧NAT,路由及透明模式运作

✧基于策略的NAT

✧支援中转站VPN

✧与Websense内容过滤方案兼容

✧10/100双交换端口或GBIC(SX或LX接受器)模块卡

✧背援高可用性介面

✧10/100传输带宽以外的监管能力

✧可制定式LCD

2几个概念

2.1安全区

安全区是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。

安全区是绑定了一个或多个接口的逻辑实体。

通过多种类型的NetScreen设备,您可以定义多个安全区,确切数目可根据网络需要来确定。

除用户定义的区段外,您还可以使用预定义的区段:

Trust、Untrust和DMZ(用于第3层操作),或者V1-Trust、V1-Untrust和V1-DMZ(用于第2层操作)。

利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的网络设计

2.2虚拟路由器

虚拟路由器(VR)的功能与路由器相同。

它拥有自己的接口和路由表。

在ScreenOS中,NetScreen设备支持两个预定义的虚拟路由器,从而允许NetScreen设备维护两个单独的路由表,并隐藏虚拟路由器彼此之间的路由信息。

例如,untrust-vr通常用来与不可信方进行通信,并且不含有保护区段的任何路由信息。

保护区段的路由信息由trust-vr进行维护。

因此,通过从untrust-vr中秘密提取路由的方式,搜集不到任何内部网络信息。

NetScreen设备上存在两个虚拟路由器时,即使存在允许信息流的策略,也不能在驻留于不同VR中的区段之间自动转发信息流。

如果希望信息流在虚拟路由器之间传递,则需要导出VR之间的路由或在一个VR中配置静态路由将另一个VR定义为下一跳。

2.3接口模式

三种不同模式:

网络地址转换(NAT)、路由和透明。

接口为透明模式时,NetScreen设备过滤通过防火墙的封包,而不会修改IP封包包头中的任何源或目的地信息。

所有接口运行起来都像是同一网络中的一部分,而NetScreen设备的作用更像是第2层交换机或桥接器。

在透明模式下,接口的IP地址被设置为0.0.0.0,使得NetScreen设备对于用户来说是可视或“透明”的。

入口接口处于“网络地址转换(NAT)”模式下时,NetScreen设备的作用与第3层交换机(或路由器)相似,将通往Untrust区段的外向IP封包包头中的两个组件进行转换:

其源IP地址和源端口号。

NetScreen设备用Untrust区段接口的IP地址替换发端主机的源IP地址。

另外,它用另一个由NetScreen设备生成的任意端口号替换源端口。

接口为路由模式时,NetScreen设备在不同区段间转发信息流时不执行源NAT(NAT-src);即,当信息流穿过NetScreen设备时,IP封包包头中的源地址和端口号保持不变。

与NAT-src不同,目的地区段接口为路由模式时,不需要为了允许入站信息流到达主机而建立映射IP(MIP)和虚拟IP(VIP)地址。

与透明模式不同,每个区段内的接口都在不同的子网中。

NetScreen设备的缺省行为是拒绝安全区内部的所有信息流(区段内部信息流)(Untrust区段内的信息流除外),并允许绑定到同一区段的接口间的所有信息流(区段内部信息流)。

为了允许选定的区段内部信息流通过NetScreen设备,必须创建覆盖缺省行为的区段内部策略。

同样,为了防止选定的区段内部信息流通过NetScreen设备,必须创建区段内部策略。

3简单配置

3.1遗失Admin口令应急办法

用控制面板上的菜单进行设置。

在登陆、口令提示符下键入序列号

将出现下面信息:

!

!

!

LostPasswordReset!

!

!

Youhaveinitiatedacommandtoresetthedevicetofactorydefaults,clearingallcurrentconfiguration,keysandsettings.Wouldyouliketocontinues?

y/[n]

键入Y

!

!

ReconfirmLostPasswordReset!

!

Ifyoucontinue,theentireconfigurationofthedevicewillbeerased.inaddition,apermanentcounterwillbeincrementedtosignfythatthisdevicehasbeenreset.Thisisyoulastchancetocancelthiscommand.Ifyouproceed,thedevicewillreturntofactorydefaultconfiguration,whichis:

SystemIP:

192.168.1.1;username:

netscreen;password:

netscreen.Wouldyouliketocontinue?

y/[n]

键入“Y”,然后重启NetScreen-500,就可以登陆了。

3.2常用管理命令

setadminnamename_str用户名

setadminpasswordpswd_str密码

setinterface设置接口

setinterfacemgtipip_addr/mask设置管理接口

setinterfacezone

getinterface显示接口信息

getconfig显示配置信息

getsystem显示系统信息

3.3路由协议

为描述方便,未声明之处缺省接口在trust区,虚拟路由器为trust-vr。

3.3.1OSPF

setvroutertrust-vrrouter-id路由器ID

setvroutertrust-vrprotocolospfOSPF路由实例

setvroutertrust-vrprotocolospfenable

setvroutertrust-vrprotocolospfarea区域号OSPF区域号

setinterface接口protocolospfarea区域号在接口上启用

setinterface接口protocolospfenable

3.3.2RIP

setvroutertrust-vrrouter-id路由器ID

setvroutertrust-vrprotocolripRIP路由实例

setvroutertrust-vrprotocolripenable

setinterfacetrustprotocolripenable在接口上启用

3.3.3BGP

setvroutertrust-vrrouter-id路由器ID

setvroutertrust-vrprotocolbgp自治区号BGP路由实例

setvroutertrust-vrprotocolbgpenable

setinterface接口protocolbgp在接口上启用BGP

setvroutertrust-vrprotocolbgpneighborxx.xx.xx.xxremote-as自治区号

配置BGP对等方

setvroutertrust-vrprotocolbgpneighborxx.xx.xx.xxenable

save保存设置

3.4WEB页管理

4JuniperNetScreen-500与QuidwaySecPath-1000互通实例

VPN支持的NetScreen设备的配置非常灵活。

可以创建基于路由和基于策略的VPN通道。

利用基于策略的VPN通道,通道被当作对象(或构件块),与源、目标、服务和动作一起,组成允许VPN信息流的策略。

(实际上,VPN策略动作是tunnel,但如果未申明,则暗指动作permit)。

在基于策略的VPN配置中,策略专门按名称引用VPN通道。

利用基于路由的VPN,策略不专门引用VPN通道。

相反,策略引用目的地址。

NetScreen设备进行路由查询以找到必须通过其发送信息流到达该地址的接口时,通过通道接口找到路由,它被绑定到特定VPN通道1。

限于篇幅,以下例子均以基于策略方式建立VPN。

4.1网络拓扑图

4.2NetScreen-500基于策略自动协商SecPath-1000自动协商参数缺省

4.2.1JuniperNetScreen-500配置

ns-500->getconfig

getconfig

TotalConfigsize2831:

setclocktimezone0

setvroutertrust-vrsharable

unsetvrouter"trust-vr"auto-route-export

setauth-server"Local"id0

setauth-server"Local"server-name"Local"

setauthdefaultauthserver"Local"

setadminname"cisco"

setadminpassword"nGQ8Mor7P91AcDdFBs3AbZHt6UK1Nn"

setadminscspassworddisableusernamecisco

setadminauthtimeout10

setadminauthserver"Local"

setadminformatdos

setzone"Trust"vrouter"trust-vr"

setzone"Untrust"vrouter"trust-vr"

setzone"DMZ"vrouter"trust-vr"

setzone"VLAN"vrouter"trust-vr"

setzone"Trust"tcp-rst

setzone"Untrust"block

unsetzone"Untrust"tcp-rst

setzone"DMZ"tcp-rst

setzone"VLAN"block

setzone"VLAN"tcp-rst

setzone"Untrust"screentear-drop

setzone"Untrust"screensyn-flood

setzone"Untrust"screenping-death

setzone"Untrust"screenip-filter-src

setzone"Untrust"screenland

setzone"V1-Untrust"screentear-drop

setzone"V1-Untrust"screensyn-flood

setzone"V1-Untrust"screenping-death

setzone"V1-Untrust"screenip-filter-src

setzone"V1-Untrust"screenland

setinterface"ethernet1/1"zone"Trust"

setinterface"ethernet3/1"zone"Untrust"

setinterfaceethernet1/1ip10.1.1.1/24

setinterfaceethernet1/1nat

setinterfaceethernet3/1ip12.1.1.1/24

setinterfaceethernet3/1route

unsetinterfacevlan1ip

setinterfacemgtip10.153.102.187/23

unsetinterfacevlan1bypass-others-ipsec

unsetinterfacevlan1bypass-non-ip

setinterfaceethernet1/1ipmanageable

setinterfaceethernet3/1ipmanageable

setinterfaceethernet3/1manageping

setconsoletimeout0

sethostnamens-500

setaddress"Trust""netscreen_lan"10.1.1.0255.255.255.0

setaddress"Untrust""secpath_lan"20.2.2.0255.255.255.0

setikegateway"to_secpath"address12.1.1.2Mainoutgoing-interface"ethernet3/1"preshare"ncApF+XIN3asYrskcmCTXriNFznu3gko4A=="proposal"pre-g1-des-sha"

setikerespond-bad-spi1

setvpn"netscreen_secpath"gateway"to_secpath"no-replaytunnelidletime0proposal"nopfs-esp-des-md5"

setpkiauthoritydefaultscepmode"auto"

setpkix509defaultcert-pathpartial

setpolicyid3name"to_secpath"from"Untrust"to"Trust""secpath_lan""netscreen_lan""ANY"tunnelvpn"netscreen_secpath"id2pair-policy2

setpolicyid2name"to_secpath"from"Trust"to"Untrust""netscreen_lan""secpath_lan""ANY"tunnelvpn"netscreen_secpath"id2pair-policy3

setpolicyid1from"Trust"to"Untrust""Any""Any""ANY"permit

setvpn"netscreen_secpath"proxy-idlocal-ip10.1.1.1/32remote-ip20.2.2.2/32"ANY"

setsshversionv2

setconfiglocktimeout5

setsnmpportlisten161

setsnmpporttrap162

setvrouter"untrust-vr"

exit

setvrouter"trust-vr"

unsetadd-default-route

setroute0.0.0.0/0interfaceethernet3/1

exit

4.2.2QuidwaySecPath-1000配置

discur

#

sysnameSecPath-1000

#

ikepeerpeer

pre-shared-keyvpn

remote-address12.1.1.1

#

ipsecproposalvpn

#

ipsecpolicyvpnmap10isakmp

securityacl3000

ike-peerpeer

proposalvpn

#

interfaceAux0

asyncmodeflow

link-protocolppp

#

interfaceGigabitEthernet0/0

ipaddress12.1.1.2255.255.255.0

ipsecpolicyvpnmap

#

interfaceGigabitEthernet0/1

ipaddress20.2.2.2255.255.255.0

#

interfaceNULL0

#

aclnumber3000

rule0permitipsource20.2.2.20destination10.1.1.10

rule1denyip

#

iproute-static10.1.1.0255.255.255.012.1.1.1preference60

#

user-interfacecon0

user-interfaceaux0

user-interfacevty04

#

return

4.2.3JuniperNetScreen-500显示

ns-500->

ns-500->getsaact

getsaact

Totalactivesa:

1

totalconfiguredsa:

1

HEXIDGatewayPortAlgorithmSPILife:

seckbStaPIDvsys

00000002<12.1.1.2-500esp:

des/md5743a4ae135741799MA/-30

00000002>12.1.1.2-500esp:

des/md53d9d264f35741799MA/-20

ns-500->

ns-500->getsastat

getsastat

totalconfiguredsa:

1

HEXIDGatewayFragmentAu

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高中教育 > 语文

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1