栏目导航

防火墙配置经典教程(Juniper)

发布时间 : 星期二 文章防火墙配置经典教程(Juniper)更新完毕开始阅读

JUNIPER 防火墙快速安装手册

⑦ 配置 VPN 第二阶段完成显示列表如下图;

⑧ 定义 VPN 策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN 隧道选择为:

刚刚定义的隧道,选择自动设置为双向策略;

第 33 页 共 70 页

http://www.synnex.com.cn/juniper/index.asp

JUNIPER 防火墙快速安装手册

4.1.2、使用命令行方式配置

CLI ( 东京)

① 配置接口参数

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat

set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24

② 定义路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 ③ 定义地址

set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 ④ 定义IPSec VPN

set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha

第 34 页 共 70 页

http://www.synnex.com.cn/juniper/index.asp

JUNIPER 防火墙快速安装手册

set vpn tokyo_paris gateway to_paris sec-level compatible

⑤ 定义策略

set policy top name \any tunnel vpn tokyo_paris

set policy top name \any tunnel vpn tokyo_paris save CLI ( 巴黎)

① 定义接口参数

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat

set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24

② 定义路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 ③ 定义地址

set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24 ④ 定义IPSec VPN

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha

set vpn paris_tokyo gateway to_tokyo sec-level compatible

⑤ 定义策略

set policy top name \any tunnel vpn paris_tokyo

set policy top name \any tunnel vpn paris_tokyo save

第 35 页 共 70 页

http://www.synnex.com.cn/juniper/index.asp

JUNIPER 防火墙快速安装手册 4.2、站点间IPSec VPN配置:staic ip-to-dynamic ip

在站点间 IPSec VPN 应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态 的公网 IP 地址,而另外一端只有动态的公网 IP 地址,以下讲述的案例是在这种情况下, Juniper 防火墙如何建立 IPSec VPN 隧道。

基本原则:

在这种 IPSec VPN 组网应用中,拥有静态公网 IP 地址的一端作为被访问端出现,拥有动态 公网 IP 地址的一端作为 VPN 隧道协商的发起端。

和站点两端都具备静态 IP 地址的配置的不同之处在于 VPN 第一阶段的相关配置,在主动发 起端(只有动态公网 IP 地址一端)需要指定 VPN 网关地址,需配置一个本地 ID,配置 VPN 发起模式为:主动模式;在站点另外一端(拥有静态公网 IP 地址一端)需要指定 VPN 网关 地址为对端设备的 ID 信息,不需要配置本地 ID,其它部分相同。

IPSec VPN 组网拓扑图:staic ip-to-dynamic ip

第 36 页 共 70 页

http://www.synnex.com.cn/juniper/index.asp

下载:防火墙配置经典教程(Juniper).doc

站内搜索

电脑版 关于南京廖华
联系合同范文客服:xxxxx#qq.com(#替换为@)