1、Juniper Netscreen 模模拟实拟实例配置例配置1分公司分公司B总总部部A192.168.1.1801.1.1.11.1.1.14192.168.1.1ERPWEB192.168.1.1902.2.2.142.2.2.1192.168.2.13.3.3.143.3.3.1192.168.3.1合作伙伴合作伙伴CL2TPIPsecWEB Server的公网映射地址为1.1.1.12.2.2.2.0的子网掩码是255.255.255.240.1.1.1.0的子网掩码是255.255.255.240.3.3.3.0的子网掩码是255.255.255.240.2总总部部A的基本配置的基本配
2、置a.接口接口设设置以及安全区的划分置以及安全区的划分a.内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。b.内网网段为192.168.1.0/24,Trust接口地址为192.168.1.1。c.公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone。d.公网路由器的地址为1.1.1.14/28,Untrust接口为1.1.1.1/28。b.设设置默置默认认路由路由a.将默认路由指向公网路由器的地址,将出口指向Untrust接口。c.设设置内网(置内网(Trust)到外网()到外网(Untrust)的)的访问访问策略策略3内网接
3、口(内网接口(Trust Interface)的)的设设置置将Trust口绑定到Trust Zone设置接口IP地址4外网接口(外网接口(Untrust Interface)的)的设设置置如果允许在外网进行网管请打开相关选项5默默认认路由的路由的设设置置0.0.0.0/0代表默认路由指定出口以及网关地址6内网(内网(Trust)到外网()到外网(Untrust)的)的访问访问策略策略Any代表任意地址允许内网访问外网7总总部部A的地址映射的地址映射/服服务务器器访问设访问设置置a.WEB服服务务器(器(真真实实地址地址192.168.1.180;公网映射地址;公网映射地址1.1.1.12)a.
4、在Untrust接口上设置MIP,做1vs1的地址映射。b.通过设置策略允许外网访问MIP上的WEB服务(80端口)。b.ERP服服务务器器a.设置ERP服务器的真实地址 192.168.1.190。b.设置ERP服务器的应用服务(TCP8888端口)。c.设置B公司的内网地址段:192.168.2.0/24。d.设置C公司的内网地址段:192.168.3.0/24。e.通过设置策略允许B、C公司可以通过VPN隧道访问ERP服务器。8在在Untrust接口接口设设置置MIP在这里输入公网地址在这里输入真实服务器地址9设设置策略允置策略允许许外网外网访问访问WEB服服务务器器在目的地址里选择MI
5、P地址。在服务里选择HTTP。10设设置置ERP服服务务器的器的应应用服用服务务(TCP 8888)在这里选择端口号11设设置置ERP服服务务器的真器的真实实地址地址 192.168.1.190单台主机的掩码使用/32。12设设置置ERP服服务务器的器的应应用服用服务务(TCP 8888)在这里选择端口号13设设置置B公司的内网地址段公司的内网地址段 192.168.2.0/24该地址对于A来说是从属于Untrust Zone的。14设设置置C公司的内网地址段公司的内网地址段 192.168.3.0/24该地址对于A来说是从属于Untrust Zone的。15设设置策略允置策略允许许B公司公司
6、访问访问ERP服服务务器器16设设置策略允置策略允许许C公司公司访问访问ERP服服务务器器17总总部部A的的总总体安全策略体安全策略a.对对于分公司于分公司B的的访问访问a.总部A可以无限制访问分公司B的内网;b.对对于公网的于公网的访问访问a.仅允许许http/https/dns/icmp/smtp/pop3/ftp/msn这八种服务。c.分公司分公司B对对于于总总部部A的的访问访问a.分公司B可以无限制访问总部A的内网;d.取消前面取消前面设设定的默定的默认认策略策略a.撤销原先的内网对公网的默认策略18设设置策略允置策略允许总许总部部A访问访问分公司分公司B19设设置策略允置策略允许总许
7、总部部A访问访问公网的几种特定服公网的几种特定服务务点击它,则弹出选择服务的菜单。20设设置策略允置策略允许许分公司分公司B访问总访问总部部A21取消默取消默认认策略策略/重复的策略重复的策略22分公司分公司B的基本配置的基本配置 设设置方法参考置方法参考Aa.接口接口设设置以及安全区的划分置以及安全区的划分a.内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。b.内网网段为192.168.2.0/24,Trust接口地址为192.168.2.1。c.公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone。d.公网路由器的地址为2.
8、2.2.14/28,Untrust接口为2.2.2.1/28。b.设设置默置默认认路由路由a.将默认路由指向公网路由器的地址,将出口指向Untrust接口。c.设设置内网(置内网(Trust)到外网()到外网(Untrust)的)的访问访问策略策略23公司公司C的基本配置的基本配置 设设置方法参考置方法参考A a.接口接口设设置以及安全区的划分置以及安全区的划分a.内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。b.内网网段为192.168.3.0/24,Trust接口地址为192.168.3.1。c.公网路由器连接防火墙Untrust接口,Untrust接口绑定
9、到Untrust Zone。d.公网路由器的地址为3.3.3.14/28,Untrust接口为3.3.3.1/28。b.设设置默置默认认路由路由a.将默认路由指向公网路由器的地址,将出口指向Untrust接口。c.设设置内网(置内网(Trust)到外网()到外网(Untrust)的)的访问访问策略策略24总总部部A与分公司与分公司B之之间间的的Site to Site VPN a.总总部部A部分的部分的Site to Site VPN设设置置a.VPN Gateway的设置b.VPN 的设置c.路由的设置b.分公司分公司B部分的部分的Site to Site VPN设设置置a.VPN Gate
10、way的设置b.VPN的设置c.路由的设置25总总部部A Gateway的的设设置置对方VPN设备的网关选择VPN通道的出口26总总部部A Gateway的的设设置置 高高级选项级选项VPN双方的模式必须一致27总总部部A Tunnel Interface的的设设置置 Tunnel Interface的地址借用Untrust接口的地址28总总部部A IKE VPN配置配置在下拉菜单选取前面定义的IKE Gateway29总总部部A IKE VPN配置配置 高高级选项级选项绑定tunnel.1接口 填入本地/远端地址段30总总部部A 路由的路由的设设置置写入分公司B内网的地址 选择tunnel.
11、1作为出口31分公司分公司B Gateway的的设设置置对方VPN设备的网关选择VPN通道的出口32分公司分公司B Gateway的的设设置置 高高级选项级选项VPN双方的模式必须一致33分公司分公司B Tunnel Interface的的设设置置 Tunnel Interface的地址借用Untrust接口的地址34分公司分公司B IKE VPN配置配置在下拉菜单选取前面定义的IKE Gateway35分公司分公司B IKE VPN配置配置 高高级选项级选项绑定tunnel.1接口 填入本地/远端地址段36分公司分公司B 路由的路由的设设置置选择tunnel.1作为出口B公司所有的对外访问都
12、要通过到总部A的VPN隧道;故选择0.0.0.0/0的默认路由37总总部部A与公司与公司C之之间间的的Site to Site VPN a.总总部部A部分的部分的Site to Site VPN设设置置a.VPN Gateway的设置b.VPN 的设置c.VPN策略设置b.公司公司C部分的部分的Site to Site VPN设设置置a.VPN Gateway的设置b.VPN的设置c.VPN策略设置38总总部部A Gateway的的设设置置对方VPN设备的网关选择VPN通道的出口39总总部部A Gateway的的设设置置 高高级选项级选项VPN双方的模式必须一致40总总部部A IKE VPN配
13、置配置在下拉菜单选取前面定义的IKE Gateway41总总部部A IKE VPN配置配置 高高级选项级选项42总总部部A VPN策略的策略的设设置置Action选择Tunnel 选择A到C的VPN43总总部部C Gateway的的设设置置对方VPN设备的网关选择VPN通道的出口44总总部部C Gateway的的设设置置 高高级选项级选项VPN双方的模式必须一致45总总部部C IKE VPN配置配置在下拉菜单选取前面定义的IKE Gateway46总总部部C IKE VPN配置配置 高高级选项级选项47总总部部C VPN策略的策略的设设置置Action选择Tunnel 选择C到A的VPN48远
14、远程用程用户户1通通过过IPsec Dialup VPN访问总访问总部部Aa.Phase 1 部分部分 a.IKE Gateway b.VPN的向外接口c.IKE Gateway 地址d.Phase 1 协议a.Pre-shared Keyb.Diffie-Hellman group numberc.Encryption Algorithmd.Authentication Algorithmb.Phase 2 部分部分 a.VPN n名称b.Phase 2 proposala.Diffie-Hellman group number for PFS(optional)b.IPSec protoc
15、ol(ESP or AH)c.Encryption Algorithmd.Authentication Algorithmc.VPN 安全策略安全策略d.Netscreen Remote 客客户户端的端的设设置置Dial-up User 设设定部分定部分 设定用户的IKE ID49配置配置Dial-up用用户户a.设设置置IKE ID设定其它值会导致异常客户端也须配置两者须一致50配置配置dialup VPN Gatewaya.IKE Phase 1 选择dialup user,并在对应下拉菜单选择我们刚才设定的用户。设置共享密钥,客户端也须设置相同的值(最少8位)51配置配置dialup V
16、PN Gateway 高高级选项级选项a.IKE Phase 1 注意dial-up VPN使用Aggressive模式如果VPN连接中有NAT存在,请勾选此项,开启穿透功能;并做UDP Checksum检查52配置配置 dialup VPNa.IKE Phase 2在下拉菜单选取前面定义的IKE Gateway53配置配置dialup VPN 高高级选项级选项a.IKE Phase 2VPNs AutoKey IKE Edit(Advanced)54总总部部A VPN策略的策略的设设置置Action选择Tunnel 选择dialup VPN源地址选择Dial-Up VPN(系统自定义)55N
17、etscreen Remote远远程客程客户户端的配置端的配置 01新建一个连接,取名后,点中它,出现右方基本配置界面。在该选项中输入我们的目标地址,即安全网关后面的内部子网/主机的地址。选中该选项,并在ID中选取IP Address,输入安全网关的外网口地址。56Netscreen Remote远远程客程客户户端的配置端的配置 02点击新建连接的加号键,点中My Identity进行设置在Select中选择None;在Pre-Shared Key中输入与前面安全网关Gateway配置中一致的值。在ID选项中选择E-mail Address,然后输入与前面安全网关Dial-up 用户配置中一致
18、的值。57Netscreen Remote远远程客程客户户端的配置端的配置 03选中Security Policy进行设置。在Select Phase 1 Negotiation Mode中选择Aggressive Mode。根据前面在安全网关中IKE VPN中Phase 2 Proposal选择的不同,选择是否使用PFS。58Netscreen Remote远远程客程客户户端的配置端的配置 04选中Proposal 1,进行Phase 1的设置。根据前面在安全网关中IKE Gateway中Phase 1Proposal的选择,选择一致的选项。59Netscreen Remote远远程客程客户
19、户端的配置端的配置 05选中Proposal 2,进行Phase 2的设置。根据前面在安全网关中IKE VPN中Phase 2Proposal的选择,选择一致的选项。60远远程用程用户户2通通过过L2TP VPN访问总访问总部部A的的ERP服服务务器器a.L2TP Tunnel的的设设置置 b.VPN 安全策略安全策略c.Windows客客户户端的端的设设置置L2TP User 设设定部分定部分 设定L2TP用户名/密码61配置配置L2TP用用户户设定用户名分配给L2TP用户的地址设定密码62配置配置L2TP Tunnel选择Tunnel的接口选择L2TP用户63L2TP Tunnel策略的策略的设设置置Action选择Tunnel 选择L2TP Tunnel源地址选择Dial-Up VPN(系统自定义)64Windows 客客户户端的配置端的配置 0165Windows 客客户户端的配置端的配置 0266Windows 客客户户端的配置端的配置 0367Windows 客客户户端的配置端的配置 0468Windows 客客户户端的配置端的配置 0569Windows 客客户户端的配置端的配置 0670Windows 客客户户端的配置端的配置 0771
浙ICP备2021020529号-1 | 浙B2-20240490 
