NetScreen 防火墙及VPN快速安装指南Screen OS 4.0.docVIP

NetScreen防火墙及VPN 快速安装培训(4.0) 北京安泰成发科技有限公司  TOC \o 1-3 \h \z 1基本安装知识 2 1.1电源连接 2 1.2Console口连接 2 1.3清除系统配置(此步骤对于第一次配置的防火墙不用做) 2 1.4修改防火墙用户名及密码 3 2基本接口配置 3 2.1NAT 模式 3 2.2ADSL动态分配地址PPPoE设置(此步骤对Untrust端口静态分配地址的不必设置) 4 3.基本策略配置 4 3.1建立策略 4 3.2连接及测试防火墙 5 4.VPN建立 6 4.1地址本建立 6 4.2设置 ike 安全通讯的两个阶段 P1P2 7 4.3设置 vpn 安全通讯策略 8 4.4测试 vpn 策略的正确性 10 5.常见故障排除 10 5.1内部网不能访问INTERNET 10 5.2分公司内部网不能和总部进行VPN通讯 10 1基本安装知识 1.1电源连接 先连好电源线，再打开电源开关。 1.2Console口连接 ?连接步骤 用console线连接NetScreen设备的console口和控制台计算机的com1口； 开始程序附件通讯超级终端； name 中输入任意名字 选择确定； 连接使用：选择com1 选择确定； 在端口设置中选择 还原默认值 选择确定； 出现登陆提示符 login：。 ?通过console口登陆到NetScreen设备 使用系统默认的用户名和密码 login: netscreen password: netscreen ns25- 1.3清除系统配置(此步骤对于第一次配置的防火墙不用做) ?执行以下两步： 确认在 Flash配置文件将会在Netscreen重启动后删除 ns- unset all Erase all system config, are you sure y/[n] ? y 重新装载Netscreen，清除RAM内容 ns- reset Configuration modified, save? [y]/n n System reset, are you sure? y/[n] y In reset ... 1.4修改防火墙用户名及密码 （此步骤在防火墙配置及测试完成，防火墙及VPN完全工作正常后进行） Configuration-Admin-Administrators-Edit ?请不要忘记ROOT管理员的登录名和口令!!! ?如果丢失了ROOT管理员的登录名和口令，则需要清空所有的配置信息！！！ 2基本接口配置 2.1NAT 模式 系统管理地址设置成0.0.0.0，使管理地址和各接口地址一致 ns- set int vlan1 ip 0.0.0.0/0 设置接口所属zone ns- set int ethernet1 zone trust ns- set int ethernet2 zone DMZ ns- set int ethernet3 zone untrust 设置接口为NAT模式（默认状态） ns- set int ethernet1 nat 在接口上设置IP地址 –端口地址翻译在NAT模式下进行 ns- set int ethernet1 ip 10.1.10.1 255.255.255.0(trust端口地址根据总部规定而定) ns- set int ethernet3 ip 2.2.2.10 255.255.255.0（untrust端口地址根据各地情况自定，AdSL动态分配地址不用设此步） ns- set route 0.0.0.0/0 int ethernet3 gateway 2.2.2.1（untrust端口Gateway根据各地情况自定，AdSL动态分配地址不用设此步） 在这种模式下，Web或Telnet管理可在Trust端口连接，输入Trust端口地址。 2.2ADSL动态分配地址PPPoE设置(此步骤对Untrust端口静态分配地址的不必设置) Untrust 接口PPPoE 配置 Web UI配置 ?选择 Obtain IP using PPPoE ?输入ADSL供应商提供的用户名和口令 ?选择 Connect 需要存储配置并重新启动设备 Network-Interface-Untrust-Edit 3.基本策略配置 3.1建立策略 Policy- 在下拉菜单中选择Trust Untrust 在点击New ?Name:（可以不取名字）为策略指定一个名字来标识 ?Source Address: Inside Any指定数据包的原IP地址