发布时间 : 星期二 文章防火墙配置经典教程(Juniper)更新完毕开始阅读
JUNIPER 防火墙快速安装手册
⑦ 配置 VPN 第二阶段完成显示列表如下图;
⑧ 定义 VPN 策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN 隧道选择为:
刚刚定义的隧道,选择自动设置为双向策略;
第 33 页 共 70 页
http://www.synnex.com.cn/juniper/index.asp
JUNIPER 防火墙快速安装手册
4.1.2、使用命令行方式配置
CLI ( 东京)
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 ③ 定义地址
set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 ④ 定义IPSec VPN
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
第 34 页 共 70 页
http://www.synnex.com.cn/juniper/index.asp
JUNIPER 防火墙快速安装手册
set vpn tokyo_paris gateway to_paris sec-level compatible
⑤ 定义策略
set policy top name \any tunnel vpn tokyo_paris
set policy top name \any tunnel vpn tokyo_paris save CLI ( 巴黎)
① 定义接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 ③ 定义地址
set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24 ④ 定义IPSec VPN
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
⑤ 定义策略
set policy top name \any tunnel vpn paris_tokyo
set policy top name \any tunnel vpn paris_tokyo save
第 35 页 共 70 页
http://www.synnex.com.cn/juniper/index.asp
JUNIPER 防火墙快速安装手册 4.2、站点间IPSec VPN配置:staic ip-to-dynamic ip
在站点间 IPSec VPN 应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态 的公网 IP 地址,而另外一端只有动态的公网 IP 地址,以下讲述的案例是在这种情况下, Juniper 防火墙如何建立 IPSec VPN 隧道。
基本原则:
在这种 IPSec VPN 组网应用中,拥有静态公网 IP 地址的一端作为被访问端出现,拥有动态 公网 IP 地址的一端作为 VPN 隧道协商的发起端。
和站点两端都具备静态 IP 地址的配置的不同之处在于 VPN 第一阶段的相关配置,在主动发 起端(只有动态公网 IP 地址一端)需要指定 VPN 网关地址,需配置一个本地 ID,配置 VPN 发起模式为:主动模式;在站点另外一端(拥有静态公网 IP 地址一端)需要指定 VPN 网关 地址为对端设备的 ID 信息,不需要配置本地 ID,其它部分相同。
IPSec VPN 组网拓扑图:staic ip-to-dynamic ip
第 36 页 共 70 页
http://www.synnex.com.cn/juniper/index.asp