Juniper SRX 与 SSG防火墙基于路由VPN.pdf

Juniper SRX 与 SSG 防火墙基于路由VPN 实验用的是一台Juniper SRX 100H 的小防火墙和一台SSG 550 的防火 墙。 配置SRX 之前，删除了所有的SRX 的初厂设置。在配置模式下用 delete.可删除所有的配置。 1. 基本配置：（接口、IP、Zone 划分、路由） SRX 基本配置： 配置一个security-zone UNTRUST 并把fe-0/0/0.0 放入这个 zone.并且允许其他外网地址ping 这个端口，允许ping 只是单纯了为 测试。 root# edit security zones security-zone UNTRUST root# set interfaces fe-0/0/0.0 host-inbound-traffic system-services ping root# set security zones security-zone UNTRUST interfaces fe-0/0/0.0 host -inbound-traffic system- services ike （这一个很重要，因为默认SRX 在出接口上并没有放行 ike 的包，但是这次实验中，没有打上这条命令，VPN 也正常工作了。在 这里还请注意。） 配置fe-0/0/0 unit 0 端口IP，做出接口，连接外网。命令如下： 配置一个security-zone TRUST 并把fe-0/0/7.0 放入这个 zone.允许所有的system-services。 root# edit security zones security-zone root# set interfaces fe-0/0/7.0 host-inbound-traffic system-services all 配置fe-0/0/7 unit 0 端口IP，做为内网接口。 新建一个st0.0 接口，并设置IP 为10.11.11.10/30; 并将这个接 口划入一个新建的Zone:VPN-ZONE-Site1. root# set interfaces st0 unit 0 family inet address 10.11.11.10/30 root# set security zones security-zone VPN-ZONE- Site1 interfaces st0.0 配置路由：配置一条默认路由和一条目地为对方的私网IP、下一跳为对 方的tunnel 口的IP 的静态路由。 root# set routing-options static route 0.0.0.0/0 next-hop 222.XXX.XXX.XXX (默认路由) root# set routing-options static route 192.168.199.0/24 next-hop 10.11.11.11 (到Site2 内网的路 由) 配置地址薄： root# set security zones security-zone TRUST address-book address SITE1-BOOK 172.20.200.0/24 root# set security zones security-zone VPN-ZONE- Site1 address-book address SITE2-BOOK 192.168.199.0/24 （可选配置）配置使SRX 成为DHCP Server，为内网客户端分发IP。 root# edit system services dhcp pool 172.20.200.0/24(配置地址池名称，必须以子网形式命令) root# set address-range low 172.20.200.100 high 172.20.200.200 （IP 分发范围） root# set router 172.20.200.254 （分配的网关） root# set name-server 61.177.7.1 （DNS