Juniper SSG系列 VPN配置详细设置图形界面.docx

Juniper SSG系列 VPN配置详细设置图形界面.docx

《Juniper SSG系列 VPN配置详细设置图形界面.docx》由会员分享，可在线阅读，更多相关《Juniper SSG系列 VPN配置详细设置图形界面.docx（19页珍藏版）》请在冰豆网上搜索。

JuniperSSG系列VPN配置详细设置图形界面

JuｎｉｐeｒSSＧ系列VPN配置详细设置图形界面

本次配置使用得就是SSG１40与ＳSＧ2０来做站点到站点得基于路由得ＶPN（两端地址都为静态ＩP地址）、

下图就是拓扑图:

我们就是在公司内部做配置,所以把外网口直接连接,我们在实验中用ｉp１.１。

1.2来代替图中得2、2.2。

２,这样确保路由没有问题,模拟下图得环境

首先我们说一下配置得思路:

配置基于路由得站点到站点VＰＮ:

1、为绑定到安全区段与通道接口得物理接口分配　IＰ地址。

2、配置ＶＰN通道,在Untrusｔ区段内指定其外向接口,将其绑定到通道接口,并配置其代理ID。

3.在Tｒｕｓt与Uｎtrusｔ　区段得通讯簿中输入本地及远程端点得IP地址、

4.输入通向ｔrust—ｖｒ　中外部路由器得缺省路由、通过通道接口通向目标得路由以及通向目标得Null路由。

为　Ｎull路由分配较高得度量（　远离零）,以便其成为通向目标得下一个可选路由。

接着,如果通道接口得状态变为“中断”,且引用该接口得路由变为非活动,则安全设备会使用Ｎｕｌl路由（即实质上丢弃了发送给它得任何信息流）,而不使用缺省路由　（即转发未加密得信息流）。

５。

为每个站点间通过得ＶＰN　流量设置策略。

以下配置为SSＧ14０防火墙

初始化防火墙

Junipｅｒ防火墙出厂时可通过缺省设置得IP地址使用Ｔelnｅt　或者Weｂ　方式管理。

缺省

IP地址为:

192、168.1、１／２55。

255、２55、０、可以直接通过ＷEＢ来进行配置,但容易发生错误,建议使用设备自带得配置线连接计算机得口采用超级终端来行配置。

1、我们先配置接口eth0/0绑定到trust安全区段,并设置IP为192、1６８.1、３/24,通过consolｅ口来配置:

（先配置SSG140,登录得用户名与密码为默认密码:

均为ｎetscreen）

ＳSG140-〉uｎsetiｎｔeｒｆace　eｔhernｅt0/0ｉp

SSG140-＞setinterfaceｅtheｒnet０/0　zoｎe　trｕst

ＳSG１４0-＞　setinterfaceｅthｅrnｅt0／０　ip　192.1６8。

1。

3／24

ＳＳG1４0—>ｓetintｅrface　eｔherneｔ0/0ｍａnagｅweｂ

SSG１40－＞　ｓａｖe

Sａve　ＳysｔeｍＣonｆiｇuration　。

。

、

接下来我们就可以用WEＢ来管理设备,推荐使用ＩE浏览器:

在IE浏览器地址栏里输入用户名与密码均为:

ｎetｓcreen

2、配置其它安全区段并配置地址

定义内网接口

Nｅtwoｒk〉　Ｉnterfaces〉Edit（对于ethernet0／1）:

　修改红线部分,然后单击

Apply:

A．Zone　Nａmｅ:

这就是定义内部LＡＮ得ＩP,所以应该在Trｕｓt安全区段

B．ＳtaticIP:

我们做得就是静态ＩＰ地址得实验（管理地址应与内网接口地址在同一网段）

C．ＭaｎａgｅmｅntServices:

打开相应得管理服务,以方便远程管理、

D．Oｔｈerservicｅs:

允许ping,方便测试与维护。

定义外网接口:

Ｎetwｏrk>Interfaces〉　Ｅdit（对于etｈｅrnet0/3）:

修改红线部分,然后单击Ａpｐly:

A、ZoneNａmｅ:

这就是定义外部接口,所以应该在Uｎtrｕｓt安全区段

B.StaticＩＰ:

我们做得就是静态IP地址得实验（管理地址应与内网接口地址在同一网段）

C、ＭａnａｇemeｎｔSerｖiｃes:

根据需要打开相应得管理服务,以方便远程管理。

D、Othersｅrｖices:

允许ｐｉng,方便测试与维护。

定义通道接口:

Ｎｅｔwork〉　Ｉnteｒfacｅs　＞NeｗＴｕnｎelＩF:

修改红线部分,然后单击　ＯＫ:

A．Zoｎe（VR）:

通道接口绑定到Ｕntｒust区段

B．Unｎumbｅred:

选择绑定得接口

定义内部LＡN地址薄:

（方便在策略里引用）

Objectｓ＞Addreｓses＞　Liｓｔ〉New:

修改红线部分,然后单击OK:

A．AｄｄressName:

建立一个标识身份得名称

B．ＩＰＡｄress/Netｍａsk:

输入IP地址与子网掩码,24位表示一个网段

C．Zonｅ:

选择相应得区段

定义对端LAN地址薄:

Objectｓ　>Ａｄdresｓes>Lｉst〉　New:

修改红线部分,然后单击ＯK

A．AddresｓName:

建立一个标识身份得名称

B．IPAdress／Ｎeｔmａｓk:

输入对端IP地址与子网掩码,24位表示一个网段

C．选择相应得区段

VＰN配置:

第一阶段:

ＶPNs＞ＡutoＫｅyAｄvａnced＞Gatｅway　>　Nｅｗ:

　修改红线部分,:

预共享密钥为:

123456

A．ＧａtewayName:

到达对端得网关地址。

B．SｅcurｉtｙLevｅｌ:

选择Ｃustoｍ　两方要一致

C．SｔaticIＰ　Ａｄdress:

静态ＩP地址

D．PｒesharedＫｅy:

预共享密钥两方要一致我们这里用１23４56

E．ＯuｔgoｉngIntｅｒfacｅ:

选择到达对端网关得出口

然后单击Ａｄvanceｄ,修改红线部分并单击Retｕｒn返回,并单击ＯK、

A．UseｒＤefiｎed:

选择Custom　

B．Pｈase1Proｐosａl第一阶段提议选择相应得加密与认证算法两方要一致

C．Modｅ（Initiaｔor）:

模式这里选择Ｍaiｎ主模式（主模式提供身份保护,主动模式不提供身份保护）

第二阶段:

VPNｓ>AutｏKey　IＫE〉New:

输入以下内容,

A．VPＮName:

建立名称

B．Securiｔy　Level:

选择Cｕstom两方配置要一致

C．ＲeｍｏtｅGateｗａｙ:

Preｄefined选择预定义,选择刚才建立得网关

然后单击　Aｄvanｃｅｄ,修改红线部分并单击Ｒetｕrn返回,并单击OK。

A.UseｒDefiｎeｄ:

选择Cｕstｏm并且第二阶段提议以确定要在ＳA中应用得安全参数。

两方配置要一致。

B.Ｂinｄto　:

选择Tuｎｎeｌｉnteｒface　并且选择前面建立得tuｎnel。

1通道接口。

C.Prｏxy－ＩD:

选择并且输入LｏcalIP与ReｍoｔeIP及子网掩码

D.Seｒｖice:

ANY

路由配置:

默认路由

Network〉　Rouｔinｇ〉RoｕtingＥｎｔries＞truｓｔ—ｖrNeｗ:

修改红线部分,然后单

击ＯK:

通过通道接口通向目标得路由:

Ｎetwork>Roｕting　＞RoutiｎgＥnｔries>　trust-vr　Neｗ:

修改红线部分,然后单

击ＯK:

通向目标得NULＬ路由

Neｔｗｏrk　〉　Routｉｎｇ＞RｏutinｇＥntrｉｅｓ>　trusｔ－vｒNeｗ:

　修改红线部分,然后单

击ＯK:

策略配置:

配置从tｒust区段到ｕntruｓt区段得策略,并加到顶部

Policieｓ>（Ｆrｏm:

Tｒｕst,　To:

Ｕntruｓt）Ｎｅw:

修改红线部分,然后单击ＯK:

配置从unｔrust区段到ｔruｓｔ区段得策略,并加到顶部

Ｐolｉcies　〉（Frｏｍ:

Uｎｔrusｔ,　To:

Ｔrust）>New:

修改红线部分,然后单击　OK:

SSG140上已经配置好了

接下来配置SSG20,以下配置为ＳSＧ20防火墙

初始化ＳＳG20防火墙,方法同SSG140相同,参照上文。

初始化后,通过WEB来配置。

配置思路与SSG140相同。

我这里设置SSＧ20管理ＩP为192。

１6８.１、4

接下来我们就可以用ＷEB来管理设备,推荐使用ＩE浏览器:

在ＩE浏览器地址栏里输入用户名与密码均为:

ｎetscｒｅeｎ

1、配置安全区段并配置地址

定义内网接口

Netwｏrｋ　＞　Iｎtｅｒfａceｓ　＞　Ｅdit　（对于ethｅｒneｔ0/1）:

　修改红线部分,然后单击　Apply:

注意:

绑定trust区段得接口默认为ｎａt模式

定义外网接口:

Netwｏrｋ>Interfaces＞Eｄit（对于ｅtｈerｎet0/3）:

修改红线部分,然后单击　

Apｐｌｙ:

定义通道接口:

Netｗｏｒk〉Interfacｅs＞New　TunnelIF:

修改红线部分,然后单击　OK:

定义内部LＡN地址:

Objｅｃts＞Addrｅｓｓeｓ＞Lisｔ＞New:

修改红线部分,然后单击OK:

定义对端LAＮ地址:

Obｊeｃtｓ>Adｄresseｓ>Lｉst　＞Nｅw:

修改红线部分,然后单击OK

VPN配置:

第一阶段:

VＰNs>AutoKeyＡdvanced>Gatewaｙ〉Ｎeｗ:

修改红线部分,:

预共享密钥为:

123456

然后单击Advanced,修改红线部分并单击Rｅturn返回,并单击OK。

第二阶段:

VＰNs　>　AutoKeyIKＥ>Ｎｅw:

输入以下内容

然后单击　Ａdvａｎceｄ,修改红线部分并单击Return返回,并单击OK。

路由配置:

默认路由

Nｅtｗork　〉Routing＞ＲoutingEntries〉trust－vrNｅw:

修改红线部分,然后单

击　OK:

通过通道接口通向目标得路由:

Network>Routing>Routing　Entrieｓ＞　truｓｔ—vr　Ｎeｗ:

修改红线部分,然后单

击OK:

通向目标得NULＬ路由

Neｔwoｒｋ〉Rouｔｉnｇ〉RoｕtｉnｇＥnｔｒiｅs〉trust—ｖｒNeｗ:

修改红线部分,然后单

击ＯK:

策略配置:

配置从trｕst区段到ｕｎtrｕst区段得策略,并加到顶部

Poliｃies＞（Fｒｏm:

Ｔｒｕst,Ｔo:

　Ｕntrｕst）New:

修改红线部分,然后单击OK:

配置从untrust区段到tｒuｓt区段得策略,并加到顶部

Ｐoliｃｉes　>（Ｆrom:

Unｔruｓt,　To:

Trｕｓt）〉Ｎeｗ:

修改红线部分,然后单击　OK:

配置结束,我们进行简单得测试一下,SSG140与SＳＧ20得内网口分别连接一个机器,IP地址改为对应得内网地址,用PＩＮＧ测试一下能否从一端得内网到另一端得内网、