juniper ssl vpn.docx
《juniper ssl vpn.docx》由会员分享,可在线阅读,更多相关《juniper ssl vpn.docx(20页珍藏版)》请在冰豆网上搜索。
junipersslvpn
Juniper的sslvpn配置(6.2版)
一、初始化设置
1.1、通过Console连接SSLVPN
SSLVPN的初始化是通过设备的Console端口完成的,Console的设置如下:
9600,8,N,1。
在管理员的计算机上使用任意终端软件,包括HyperTerminal,Crt,SecureCrt等等都行。
把设备的Console线连接至SSLVPN的Console端口,开启电源开关,通过终端软件就能观察到设备启动自检的过程。
1.2、填写初始化信息
当系统自检到如下信息时:
Welcometotheinitialconfigurationofyourserver!
NOTE:
Press'y'ifthisisastand-aloneserverorthefirst
machineinaclusteredconfiguration.
Ifthisisgoingtobeamemberofanalreadyrunningcluster
pressntoreboot.Whenyouseethe'HitTABforclusteringoptions'
messagepressTABandfollowthedirections.
Wouldyouliketoproceed(y/n)?
:
y(选择Y)
Notethatcontinuingsignifiesthatyouaccepttheterms
oftheNeoterislicenseagreement.Type"r"toreadthe
licenseagreement(thetextisalsoavailableatanytime
fromtheLicensetabintheAdministratorConsole).
Doyouagreetothetermsofthelicenseagreement(y/n/r)?
:
y(选择Y)
初始化网络信息:
Pleaseprovideethernetconfigurationinformation
IPaddress:
192.168.1.1
Networkmask:
255.255.255.0
Defaultgateway:
192.168.1.254
(填入用户需要的IP地址,掩码和网关等信息。
注意:
所有网络信息都会设置到SSLVPN的InternalInterface上)
Linkspeed[Auto]:
0)Auto
1)1000Mb/s,FullDuplex
2)1000Mb/s,HalfDuplex
3)100Mb/s,FullDuplex
4)100Mb/s,HalfDuplex
5)10Mb/s,FullDuplex
6)10Mb/s,HalfDuplex
Select0-6:
0(选择用户需要的速率)
PleaseprovideDNSnameserverinformation:
PrimaryDNSserver:
202.106.0.20
Secondary(optional):
202.99.8.1(填入用户需要的DNS地址,可以是内部的DNS服务器的IP地址)
DNSdomain(s):
(填入用户需要的域名,无特别限制)
PleaseprovideMicrosoftWINSserverinformation:
WINSserver(optional):
确认初始化信息:
Pleaseconfirmthefollowingsetup:
IPaddress:
192.168.1.1
Networkmask:
255.255.255.0
GatewayIP:
192.168.1.254
Linkspeed:
Auto
PrimaryDNSserver:
202.106.0.20
SecondaryDNS:
202.99.8.1
DNSdomain(s):
WINSserver:
Correct?
(y/n):
y(确认无误后,选择Y)
初始化安全信息:
Adminusername:
admin
Password:
Confirmpassword:
Theadministratorwassuccessfullycreated.(填入用户设定的管理员帐号和密码)
二、使用浏览器连接SSLVPN
输入:
https:
//192.168.1.1/admin
输入用户名、密码后
1进入界面如图:
2点击左边面板里的auth_server,点击newserver,点击下拉菜单,测试一般选择localserver
3填写新建服务器信息
4点击右边的user新建一个用户
5点击左面版面里的userrealms新建一个用户域
注意:
要把认证(authencation)选成刚才建立的那个认证服务器名字
6准备建立用户角色以匹配相应的用户域
6点击左面版面里的userrole建立一个用户角色
注意:
要选好进入后的可访问的服务(打对勾)
7对应相应的角色添加访问服务器的内网ip地址,这个地址会出现在用户进入时的界面中,一般把重要的服务写上,方便用户进入
8、再次进入刚才创建的用户域(rolerealms)匹配刚刚创建的角色(rolemapping)
注意:
rule:
ifusername要打*,以匹配全部用户
9点击左面面板中的resourcepolicies进入resourcepolicies
10进入左下角的split-tunnellingnetwork
11新建一个split-tunnellingnetwork的策略其中resources是内网可访问的ip地址,一般式内网的服务器地址段
12进入networkconnect中的accesspolicies新建一个策略
注意:
其中resources为可访问的服务一般已*/*表示开启所有服务和可访问的ip地址,一定要加上可访问的ip地址!
!
!
13进入networkconnectprofiles新建策略
注意:
添加进入内网后主机分配的ip地址,注意最好不要与上边的服务器地址相同
注意添加相应的角色
14、进入左边版面的角色(userroles)中的networkconnect把auto-launchnetworkconnect(自动下载程序)点开。
注:
networkconnect是为了非web应用而使用的,采用后,用户登录时会下载一个程序,该程序为用户系统虚拟出一个网卡,并会为其分配一个内网ip,使用户可以访问网内任何服务
注意:
要选择enablesplittunneling,否则当连接时只能访问内网,无法访问外网,此条命令的意思是把链路分成两条隧道,一条进入内网,一条可以正常访问外网。
15点击左面面板的sign-inpolicy新建一个用户进入时策略页面
注意:
Sign-inurl表示输入的url一般用*/<路径>(如:
*/vpn)
注意:
sign-inpage要选defaulesign-inpage
18完成。
登陆后成功
为系统新添加了一块网卡