【正文】 sal preg23dessha set vpn tokyo_paris gateway to_paris seclevel patible ⑤ 定義策略 set policy top name To/From Paris from trust to untrust Trust_LAN paris_office any tunnel vpn tokyo_paris set policy top name To/From Paris from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_paris save CLI ( 巴黎) ① 定義接口參數(shù) set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip ② 定義路由 set vrouter trustvr route ③ 定義地址 set address trust Trust_LAN set address untrust tokyo_office ④ 定義IPSec VPN set ike gateway to_tokyo address main outgoinginterface ethernet3 preshare h1p8A24nG5 proposal preg23dessha set vpn paris_tokyo gateway to_tokyo seclevel patible ⑤ 定義策略 set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyo set policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyo save 、站點(diǎn)間IPSec VPN配置：staic iptodynamic ip 在站點(diǎn)間IPSec VPN應(yīng)用中，有一種特殊的應(yīng)用，即在站點(diǎn)兩端的設(shè)備中，一端擁有靜態(tài)的公網(wǎng)IP地址，而另外一端只有動(dòng)態(tài)的公網(wǎng)IP地址，以下講述的案例是在這種情況下，Juniper防火墻如何建立IPSec VPN隧道。 、使用命令行方式配置DIP ① 配置接口參數(shù) set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip ② 定義DIP set interface ethernet3 dip 5 ③ 定義策略 set policy from trust to untrust any any nat src dipid 5 permit save Juniper防火墻IPSec VPN的配置 Juniper所有系列防火墻都支持IPSec VPN，其配置方式有多種，包括：基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。 、DIP的配置 DIP的應(yīng)用一般是在內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)方面。 VIP應(yīng)用的拓?fù)鋱D： 注：VIP配置在防火墻的外網(wǎng)連接端口上（連接Internet的端口）。 、使用Web瀏覽器方式配置MIP ① 登錄防火墻，將防火墻部署為三層模式（NAT或路由模式）； ② 定義MIP：Network=Interface=ethernet2=MIP，配置實(shí)現(xiàn)MIP的地址映射。 Juniper防火墻幾種常用功能的配置 這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實(shí)現(xiàn)，包括：MIP、VIP和DIP，這三種常用功能主要應(yīng)用于防火墻所保護(hù)服務(wù)器提供對(duì)外服務(wù)。 、NS25208 NAT/Route模式下的基本配置 ① Unset interface ethernet1 ip（清除防火墻內(nèi)網(wǎng)口缺省IP地址）； ② Set interface ethernet1 zone trust（將ethernet1端口分配到trust zone）； ③ Set interface ethernet1 ip （定義ethernet1端口的IP地址）； ④ Set interface ethernet3 zone untrust（將ethernet3端口分配到untrust zone）； ⑤ Set interface ethernet3 ip （定義ethernet3端口的IP地址）； ⑥ Set route （定義防火墻對(duì)外的缺省路由網(wǎng)關(guān)）； ⑦ Set policy from trust to untrust any any any permit log（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)控制策略）； ⑧ Save （保存上述的配置文件） 注：上述是在命令行的方式上實(shí)現(xiàn)的NAT模式的配置，因?yàn)榉阑饓Τ鰪S時(shí)在內(nèi)網(wǎng)端口（trust zone所屬的端口）上啟用了NAT，所以一般不用特別設(shè)置，但是其它的端口則工作在路由模式下，例如：untrust和DMZ區(qū)的端口。 注：在設(shè)備缺省的情況下，防火墻的信任區(qū)（Trust Zone）所在的端口是工作在NAT模式的，其它安全區(qū)所在的端口是工作在路由模式的。輸入正確的用戶名和密碼，登錄到防火墻之后，可以對(duì)防火墻的現(xiàn)有配置進(jìn)行修改。如果計(jì)算機(jī)不能獲得或設(shè)置DNS服務(wù)器地址，無(wú)法訪問(wèn)互聯(lián)網(wǎng)。 注：DHCP服務(wù)器配置在需要防火墻在網(wǎng)絡(luò)中充當(dāng)DHCP服務(wù)器的時(shí)候才需要配置。 7. 完成了模式選擇，點(diǎn)擊“Next”進(jìn)行防火墻外網(wǎng)端口IP配置。 6. 防火墻設(shè)備工作模式選擇，選擇：TrustUntrust Mode模式。 2. 使用缺省IP登錄之后，出現(xiàn)安裝向?qū)В? 注：對(duì)于熟悉Juniper防火墻配置的工程師，可以跳過(guò)該配置向?qū)?，直接點(diǎn)選：No，skip the wizard and go straight to the WebUI management session instead，之后選擇Next，直接登錄防火墻設(shè)備的管理界面。 通過(guò)Web瀏覽器登錄處于出廠狀態(tài)的防火墻時(shí)，防火墻的缺省管理參數(shù)如下： ① 缺省IP：； ② 缺省用戶名/密碼：netscreen/ netscreen； 注：缺省管理IP地址所在端口參見(jiàn)在前言部份講述的“Juniper防火墻缺省管理端口和IP地址”中查找！！ 在配置向?qū)?shí)現(xiàn)防火墻應(yīng)用的同時(shí)，我們先虛擬一個(gè)防火墻設(shè)備的部署環(huán)境，之后，根據(jù)這個(gè)環(huán)境對(duì)防火墻設(shè)備進(jìn)行配置。使用透明模式有以下優(yōu)點(diǎn)： ① 不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置； ② 不需要為到達(dá)受保護(hù)服務(wù)器創(chuàng)建映射或虛擬 IP 地址； ③ 在防火墻的部署過(guò)程中，對(duì)防火墻的系統(tǒng)資源消耗最低。 路由模式應(yīng)用的環(huán)境特征： ① 注冊(cè)IP（公網(wǎng)IP地址）的數(shù)量較多； ② 非注冊(cè)IP地址（私網(wǎng)IP地址）的數(shù)量與注冊(cè)IP地址（公網(wǎng)IP地址）的數(shù)量相當(dāng)； ③ 防火墻完全在內(nèi)網(wǎng)中部署應(yīng)用。 防火墻使用 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）接口的 IP 地址替換始發(fā)端主機(jī)的源 IP 地址；同時(shí)使用由防火墻生成的任意端口號(hào)替換源端口號(hào)。 、Juniper防火墻的常用功能 在一般情況下，防火墻設(shè)備的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的應(yīng)用、MIP的應(yīng)用、DIP的應(yīng)用、VIP的應(yīng)用、基于策略VPN的應(yīng)用。支持通過(guò)Console端口超級(jí)終端連接和Telnet防火墻管理IP地址連接兩種命令行登錄管理模式。 基本配置： 1. 確認(rèn)防火墻的部署模式：NAT模式、路由模式、或者透明模式； 2. 為防火墻的端口配置IP地址（包括防火墻的管理IP地址），配置路由信息； 3. 配置訪問(wèn)控制策略，完成基本配置。 關(guān)于本手冊(cè)的使用： ① 本手冊(cè)更多的從實(shí)際使用的角度去編寫(xiě)，如果涉及到的一些概念上的東西表述不夠透徹、清晰，請(qǐng)使用者自行去找一些資料查證； ② 本手冊(cè)在編寫(xiě)的過(guò)程中對(duì)需要使用者特別注的地方，都有“注”標(biāo)識(shí)，請(qǐng)大家仔細(xì)閱讀相關(guān)內(nèi)容；對(duì)于粗體、紅、藍(lán)色標(biāo)注的地方也需要多注意； ③ 本著技術(shù)共享的原則，我們編寫(xiě)了該手冊(cè)，希望對(duì)在銷(xiāo)售、使用Juniper防火墻的相應(yīng)技術(shù)人員有所幫助，大家在使用過(guò)程中有任何建議可反饋到：chuang_li ；jiajun_xiong ； ④ 本手冊(cè)歸“聯(lián)強(qiáng)國(guó)際（香港）有限公司”所有，嚴(yán)禁盜版。我們會(huì)不斷更新和完善“快速安裝手冊(cè)”，大家在使用過(guò)程中有任何好的建議和意見(jiàn)，請(qǐng)和我公司相關(guān)技術(shù)人員聯(lián)絡(luò)。 在配置Juniper防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡(luò)的規(guī)劃情況和用戶對(duì)防火墻配置及實(shí)現(xiàn)功能的諸多要求，建議參照以下思路和步驟對(duì)Juniper防火墻進(jìn)行配置和管理。推薦使用IE瀏覽器進(jìn)行登錄管理，需要知道防火墻對(duì)應(yīng)端口的管理IP地址； ② 命令行方式。 Juniper防火墻缺省登錄管理賬號(hào)： ① 用戶名：netscreen； ② 密 碼：netscreen。 、NAT模式 當(dāng)Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時(shí)，防火墻將通往 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個(gè)組件進(jìn)行轉(zhuǎn)換：源 IP 地址和源端口號(hào)。 ① 與NAT模式下不同，防火墻接口都處于路由模式時(shí)，不需要為了允許入站數(shù)據(jù)流到達(dá)某個(gè)主機(jī)而建立映射 IP (MIP) 和虛擬 IP (VIP) 地址； ② 與透明模式下不同，當(dāng)防火墻接口都處于路由模式時(shí)，其所有接口都處于不同的子網(wǎng)中。 透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。例如：新的從未被調(diào)試過(guò)的設(shè)備，或者經(jīng)過(guò)命令行恢復(fù)為出廠狀態(tài)的防火墻設(shè)備。 1. 通過(guò)IE或與IE兼容的瀏覽器（推薦應(yīng)用微軟IE瀏覽器）使用防火墻缺省IP地址登錄防火墻（建議：保持登錄防火墻的計(jì)算機(jī)與防火墻對(duì)應(yīng)接口處于相同網(wǎng)段，直接相連）。 5. 在完成防火墻的登錄用戶名和密碼的設(shè)置之后，出現(xiàn)了一個(gè)比較關(guān)鍵的選擇，這個(gè)選擇決定了防火墻設(shè)備是工作在路由模式還是工作在NAT模式： 選擇Enable NAT，則防火墻工作在NAT模式； 不選擇Enable NAT，則防火墻工作在路由模式。目前，除NS5GT以外，Juniper其他系列防火墻不存在另外兩種模式的選擇。 8. 完成外網(wǎng)端口的IP地址配