hillstonejuniper ipsec_vpn.docVIP

HILLSTONE防火墙 和JUNIPER防火墙VPN配置文档 HILLSTONE SA2003 版本：2.0r3d1 JUNIPER NS5GT 版本：5.4.0r8.0 链路由类型：静态ip地址 端到端的Ipsec vpn 网络拓扑图： HILLSTONE端的VPN设置 将HILLSTONE SA 2003进行简单的配置，使本地网络能通过防火墙进行上网。 进行VPN设置，首先在对象里面→地址薄，建立本地和对端网段的地址，如下图： 图-1 点击VPN→进入到IKE VPN，进行阶段一的设置，如下图： 图-2 在阶段1的参数如上图所示，但需要保证VPN的两端的参数一致。 进入阶段二的设置，如下图所示： 图-3 注意：阶段二的参数如上图所示，在这里的三对验证和加密算法，可以只选其一，也可以选择多对，具体根据你的实际情况而定（注意生存时间juniper默认3600）。 紧接着是进行对端设置，设置对端的的基本信息，如下图所示： 图-4 在这里首先选中接口为防火的外网接口，其次是模式、类型、对端IP和 共享密钥。 注意在此对端的IP地址可以支持静态IP地址和域名，同时请勾选中‘NAT穿越’选项。 隧道的设置，如下图所示： 图-5 在隧道设置一栏中，参数如上图所示，值得注意的是提议名称选中阶段二。 到此VPN的IKE的设置就已完成（注意代理ID的设置）。 接着就是VPN策略的设置，如下图所示： 图-6 在策略设置中，为了实现双向双向访问，我们需要建两条策略，其中一条是从内网到外网的设置，另一条是从外网到内网的设置，源地址和目地地址选择我们开始定义的地址，行为一栏则要根据策略的方向来决定（从内到外就选择隧道，从外到内就选择来自隧道），最后还要所做的策略移动到所有策略的最前面，让它优先执行。 最后一步就是做目地地址转换和禁用vpn源地址转换，如下所示： 图-7 在网络→选中‘NAT’ →‘目地NAT’出现如上图所示，在源地址中选中对端的地址，目地地址选中本地地址，行为则选‘不做NAT’。 在网络→选中‘NAT’ →‘源NAT’出现如上图所示，禁用vpn源地址转换（放在最上边）到此，HILLSTONE端的设置就完成了。 JUNIPER防火墙端VPN设置（路由vpn） 新建tunnel.1通道接口 配置vpn第一阶段网关 高级配置 配置vpn第二阶段IKE通道 高级配置 添加去往vpn通道的路由 策略配置 到此vpn在juniper端的配置完成。