ImageVerifierCode 换一换
格式:DOCX , 页数:14 ,大小:48.25KB ,
资源ID:8519451      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/8519451.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx

1、Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例按公司要求在外面mail必须要拨入VPN才能收取,同时要连到公司服务器也必须VPN。但收取mail的人,不一定有权限能连接到citrix服务器。所以就建立了3个组,一个只收取mail,一个只能登录citrix,一个可以2个同时登录。同时为了便于帐号管理。不能使用具有预共享密钥的“组IKE ID”的方式来建立VPN。1.这样建立帐号麻烦需要在cli下 用:exec ike preshare-gen vpn_gw lisa2.这样建立过后别人可以比较容易导出配置文件后,就有了VPN权限。3.比如user1离

2、职后,user1的帐号没有办法删除,只能更改预共享种子密钥,这样显得比较麻烦,改了过后整个组都要改动。4.无法查看现在已经存在的用户。所以就使用共享IKE ID方式来建立VPN,可以比上面方法“预共享密钥的组IKE ID”多一步用户名密码验证。一 防火墙上配置1. 建立组IKE ID用户,并按要求分组。1.1 建立center_vpn_g IKE组,可以拨2个vpn。mail和citrixUser Name: centerObjectsUsersLocal ,new:Status: EnableIKE User: ( 选择)Number of Multiple Logins with same

3、 ID: 25 (我们的防火墙最大只支持25user,就算写成50也会自己变成25的)Simple Identity: ( 选择)IKE Identity: centercent.szObjects User Groups Local New: 在 Group Name 字段中键入center_vpn_g,执行以下操作,然后单击 OK:选择 center,并使用 UsersLocal ,new:User Name: mailerStatus: EnableIKE User: ( 选择)Number of Multiple Logins with same ID: 25Simple Identi

4、ty: ( 选择)IKE Identity: mailercent.sz (这个不一定也要同上一个组的cent.sz这里只是方便记忆)Objects User Groups Local New: 在 Group Name 字段中键入mailer_vpn_g,执行以下操作,然后单击 OK:选择 mailer,并使用 UsersLocal ,new:User Name: citrixerStatus: EnableIKE User: ( 选择)Number of Multiple Logins with same ID: 25Simple Identity: ( 选择)IKE Identity:

5、citrixercent.szObjects User Groups Local New: 在 Group Name 字段中键入citrixer_vpn_g,执行以下操作,然后单击 OK:选择 mailer,并使用 UsersLocal ,new:User Name: evanStatus: EnableXAuth User ( 选择),在后面输入密码 xxxxxx建立IKE ID组Objects User Groups Local New: 在 Group Name 字段中键入mail_citrix_gp,执行以下操作,然后单击 OK:选择 evan,并使用 UsersLocal ,new:

6、User Name: andyStatus: EnableXAuth User ( 选择),在后面输入密码 xxxxxxObjects User Groups Local New: 在 Group Name 字段中键入mail _gp,执行以下操作,然后单击 OK:选择 andy,并使用 UsersLocal ,new:User Name: jackStatus: EnableXAuth User ( 选择),在后面输入密码 xxxxxxObjects User Groups Local New: 在 Group Name 字段中键入citrix_gp,执行以下操作,然后单击 OK:选择 ja

7、ck,并使用 AutoKey Advanced-Xauth-Allowed Authentication Type:改为Generic,但os5.0 5.4都没有该设置。在5GT5.4的XAuth(位置:返回基本 Gateway 配置页,点XAuth)里的确要选为Generic。在25B5.0里没有的选,而且默认还是chap打勾的。平时查看配置后,也尽量别点return,而点cancel。3.1建立能同时拨mail、citrix的VPN的GWVPNs AutoKey Advanced Gateway New: 输入以下内容,然后单击 OK:Gateway Name: center_gwSecu

8、rity Level: Compatible ( 选择)Remote Gateway Type: Dialup Group ( 选择), center_vpn_gPreshared Key: abcd1234 (必须要8位及以上,因为netscreen remote client 要求必须8位以上。)Outgoing Interface: ethernet3 (这个选择你网络的外网接口) Advanced: 输入以下内容,然后单击 Return,返回基本 Gateway 配置页: Enable NAT-Traversal (选择)UDP Checksum (选择)Enable XAuth: (

9、 选择) /有的版本是 XAuth Server (5GT的位置不在这里,而是先返回基本 Gateway 配置页,点XAuth)Local Authentication: ( 选择)User Group: ( 选择) mail_citrix_gp3.2建立拨mail的VPN的GWVPNs AutoKey Advanced Gateway New: 输入以下内容,然后单击 OK:Gateway Name: mailer_gwSecurity Level: Compatible ( 选择)Remote Gateway Type: Dialup Group ( 选择), mailer_vpn_gPr

10、eshared Key: abcd1234 (这里可以设置和上面的一样,主要是方便自己维护,为了安全最好设置成不一样的)Outgoing Interface: ethernet3 (这个选择你网络的外网接口) Advanced: 输入以下内容,然后单击 Return,返回基本 Gateway 配置页:Enable NAT-Traversal (选择)UDP Checksum (选择)Enable XAuth: ( 选择) /有的版本是 XAuth ServerLocal Authentication: ( 选择)User Group: ( 选择) mail_ gp3.3建立拨citrix的VP

11、N的GWVPNs AutoKey Advanced Gateway New: 输入以下内容,然后单击 OK:Gateway Name: citrixer_gwSecurity Level: Compatible ( 选择)Remote Gateway Type: Dialup Group ( 选择), citrixer_vpn_gPreshared Key: abcd1234Outgoing Interface: ethernet3 (这个选择你网络的外网接口) Advanced: 输入以下内容,然后单击 Return,返回基本 Gateway 配置页:Enable NAT-Traversal

12、 (选择)UDP Checksum (选择)Enable XAuth: ( 选择) /有的版本是 XAuth ServerLocal Authentication: ( 选择)User Group: ( 选择) citrix_ gpGateway 列表:Name Type Address/ID/User Group Local ID Security Level Configure center_gw Dialup center_vpn_g - Compatible Edit - citrix_gw Dialup citrixer_vpn_g - Compatible Edit - mail_

13、gw Dialup mailer_vpn_g - Compatible Edit - 4. 建立VPN连接 4.1建立可以mail、citrix的VPNVPNs AutoKey IKE New: 输入以下内容,然后单击 OK:VPN Name: center_vpnSecurity Level: CompatibleRemote Gateway: Predefined: ( 选择) center_gw Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey IKE 配置页:Bind to: Tunnel Zone, Untrust-Tun4.2建立可以到mail

14、的VPNVPNs AutoKey IKE New: 输入以下内容,然后单击 OK:VPN Name: mailer_vpnSecurity Level: CompatibleRemote Gateway: Predefined: ( 选择) mail_gw Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey IKE 配置页:Bind to: Tunnel Zone, Untrust-Tun4.3建立可以到citrix的VPNVPNs AutoKey IKE New: 输入以下内容,然后单击 OK:VPN Name: citrixer_vpnSecurity

15、Level: CompatibleRemote Gateway: Predefined: ( 选择) citrix_gw Advanced: 输入以下高级设置,然后单击 Return,返回基本 AutoKey IKE 配置页:Bind to: Tunnel Zone, Untrust-TunVPN列表:Name Gateway Security Monitor Configure center_vpn center_gw Compatible Off Edit - citrixer_vpn citrix_gw Compatible Off Edit - mailer_vpn mail_gw C

16、ompatible Off Edit 5. 建立相关Policies5.1建立center_vpn的policies (2条,一条到mail,一条到citrix。就算mail和citrix都在同一个zone也不能选择Multiple而加入2个地址)5.1.1建立到mail的Policies (From: Untrust, To: DMZ) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), Dial-Up VPNDestination Address:Address Book Entry: ( 选择), 192.168.2

17、5.7/32Service: Multiple (MAIL,POP3,PING)Action: TunnelTunnel VPN: center_vpnModify matching bidirectional VPN policy: ( 清除)Position at Top: ( 选择)5.1.2建立到citrix的Policies (From: Untrust, To: Trust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), Dial-Up VPNDestination Address:Address Boo

18、k Entry: ( 选择), 10.10.25.2/32Service: Multiple (CITRIX,HTTP,PING)Action: TunnelTunnel VPN: center_vpnModify matching bidirectional VPN policy: ( 清除)Position at Top: ( 选择)5.2建立mailer_vpn的policy (只让到mail)Policies (From: Untrust, To: DMZ) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), Di

19、al-Up VPNDestination Address:Address Book Entry: ( 选择), 192.168.25.7/32Service: Multiple (MAIL,POP3,PING)Action: TunnelTunnel VPN: mailer_vpnModify matching bidirectional VPN policy: ( 清除)Position at Top: ( 选择)5.3建立citrixer_vpn的policy (只让到citrix)Policies (From: Untrust, To: Trust) New: 输入以下内容,然后单击 O

20、K:Source Address:Address Book Entry: ( 选择), Dial-Up VPNDestination Address:Address Book Entry: ( 选择), 10.10.25.2/32Service: Multiple (CITRIX,HTTP,PING)Action: TunnelTunnel VPN: citrixer_vpnModify matching bidirectional VPN policy: ( 清除)Position at Top: ( 选择)至此防火墙上配置全部完成。Vpn,gw ,ikeid等的对应关系Name Gatew

21、ay IKE ID group IKE ID XAuth group center_vpn center_gw center_vpn_g centercent.sz mail_citrix_gp citrixer_vpn citrix_gw citrixer_vpn_g citrixercent.sz Citrix_gp mailer_vpn mail_gw mailer_vpn_g mailercent.sz mail_gp 二 NetScreen Remote VPN client 配置1. 单击 Options Secure Specified Connections。2. 单击 Add

22、 a new connection,在出现的新连接图标旁键入 to mailserver。3. 配置连接选项:Connection Security: SecureRemote Party ID Type: IP AddressIP Address: 192.168.25.7Connect using Secure Gateway Tunnel: ( 选择)ID Type: IP Address; 218.xxx.xxx.xxx可以看情况是否勾选 only connect manually,这个的主要作用是当回到公司如果忘了禁用本软件,它也不会改变路由表。但如果连接超时后,就必须手动在输入用户名密码重新连接。4. 单击位于 web1 图标左边的加号,展开连接策略。5. 单击 Se

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1