Juniperns-5GT的基本配置.docVIP

文章只是Juniper NetScreen-5G的一些入VPN,把一个公司与另一公司通VPN连起来。配置VPN的目的主要是想VPN通信。 站点A： (1) ISP提供的IP00/27 (2) 使用/24VPN到另一站点B 站点B： (1) ISP提供的IP00/27 (2) 使用/24VPN到另一站点A *：00/200是我随意写的，若真的有 使用设备都为Juniper NetScreen-5G且工作模式是Trust-Untrust。（configurationport mode） 1,基本配置 1.1IP，NetworkInterfacesuntrustEdit 如果想通IP来管理Manageable勾management services中web UI,Telnet,SSH,SNMP,SSL方式之一 1.2，trust的IP,局域网IP, NetworkInterfacestrustEdit IP，manageable勾management services里我都IP来管理Other services里ping ,当ping 一下down掉。 1.3，DHCP服NetworkDHCPtrustEdit 设置DHCP的作用范NetworkDHCPtrustEditAddresses 1.4,设置DNS，NetworkDHCPtrustEdit Advanced Options 1.5,配置网NetworkRoutingDestination选trust-vr,new 在IP Address/netmask写/0就可以，其NetworkRoutingDestination，如下 1.6，配置策略，Policiesnew 接着做如下 在source Address 里ANY,表示与trust口在同一网段并以此trust口的IPDestination Address设置的IP，service的服FTP,MAIL,DNS,MSN），Actionpermit。这条策略如果没有则要添加，若有就不用设置了。 完成以上的配置后，局域网内通 2，端口映射，也叫 2.1把SMTP服务，POP3或IMAP映射到网内的MAIL服0 NetWorkInterfacesuntrustEditVIPNew VIP Service 以上服务都是默认的端口，如果在实际应用http的80更改8080，那VIP时，Virtual Port那地方更改8080。 2.2，6000-8000 ObjectsServicesCustomNew NetWorkInterfacesuntrustEditVIPNew VIP Service 2.3，创建一个服务组g-vip，把SMTP,POP3,IMAP,s-test放到 Objectsservicesgroups 完成2.1及2.2的操作后，不要忘了做策略，否则是无效的。 Policies 接着做以下设置 设置以上策略，就是只允许外网访问内网的SMTP,POP3,IMAP及自定s-test(开放的6000-8000端口) 完成以上NetWorkInterfacesuntrustEdit就可以看到以下内容： 到此就可以看到画红线的两条策略： 到Juniper NetScreen-5GT基本功能就完成了。 基于策略的站点到站点的VPN,自IKE 3，配置一个站点到站点的VPN，在VPN,自IKE使用共享机密。 3.1，VPNSAutokey Advanced Gatewaynew 如果Security Level 选择了Custom，advanced,进阶设置安全 两端要设置相同的配置。 3.2，VPNSAutokey IKENew 选Advanced进一步设置security level，因custom 3.3,最后一定要记住做策略 在做策略前，我Address Book，就相当于VPN的网段起个名字；另一站点要VPN的网段起个名字，VPN的网段范 ObjectsAddressesNew ObjectsAddressesNew Policies 到此4条： 一定要注意的是策略是有ID为3的那条与ID1的那条策略的上下VPN没有达到目的，就是当你ping VPN总是不通郁闷了好几天，配置过程没有错误，可就是不通。