Juniper IC初始化配置手册.docVIP

IC初始化配置 1、导入license：将juniper厂家给的认证码复制，并在/support网站上生成相关的license或从厂家工程师处生成临时的license。如下所示，点击add按钮将新生成的license导入IC中； 2、设置接口的IP地址； 根据客户的实际情况设置internal port和external port的接口IP地址，子网掩码，缺省网关，MTU和接口速率，确保网络的通讯是正常的。如下所示； 3、生成证书； 1．安装OPENSSL软件； 2．在运行处输入“cmd”命令； 3．在DOS命令行输入以下命令： 新建一个index.txt文件，并建立认证文件存放的目录； C:\cd openssl C:\OpenSSLmd certs C:\OpenSSLcd certs C:\OpenSSL\certsmd demoCA C:\OpenSSL\certsmd demoCA\newcerts C:\OpenSSL\certsedit demoCA\index.txt 在index.txt文件里面不需要输入任何的内容，直接保存并推出即可 推出index.txt以后，输入edit demoCA\serial 在serial文件中输入“01”，保存并推出 设置可执行文件的路径，set path=%path%;c:\openssl\bin 生成RSA密钥；输入：openssl genrsa －out ca.key 1024 通过生成的密钥，生成一个证书的雏形 openssl req -new -x509 -days 365 -key ca.key -out demoCA/cacert.pem 输入一些相关的选项，如CN，stateopenssl ca -in ic.csr -out ic.crt -keyfile ca.key 同时在step2里面选择刚才生成的ic.csr并点击import，生成一个证书 回到DOS命令行，输入 openssl ca -days 3650 –in ic.csr –out ic.crt –keyfile ca.key 生成正是的证书，同时将证书导入防火墙中，并设置证书属性； Show选择CA，load选择cert，点击浏览，选择c:\openssl\ic.crt，并点击load； 并点击证书的server setting，check method选择none， 设置防火墙的infranet controller，进入configuration-infranet auth-controllers;点击new 如下，输入controller实例的名字，IP的地方输入IC的接口地址，source interface选择和IC相连接或可路由到达的接口，如内部网接口trust的接口；password为自定义的和IC通讯的密钥，并选择刚才输入的证书。并点击OK； 同时需要设置防火墙不采用DHCP， 并且接口的SSH是已经启动了。 在IC上点击resource policy-connection； 现在的防火墙和IC之间还没有通讯，需要在防火墙的CLI界面发起连接的通讯； Exec infranet controller connect 然后输入get ssh确认防火墙和IC之间的通讯； 此时可以看到对端的IP地址就是IC的接口IP地址，设备连接就完成了； 在IC中设置相关的访问策略，resource policies-infranet enforcer-access control； 如上所示，在resources里面按照给出的格式输入允许访问的协议号，IP地址和端口号，并指派到对应的角色里面或policy apply to all roles； 在防火墙的策略引用IC，新建一个policy，输入需要控制的源地址和目的地址，服务因为已经在IC里面控制了，因此在这里就选择any即可； 然后点击advanced，选择infranet-auth 即完成相关的初始化步骤；