Juniper SSG系列 VPN配置详细设置图形界面

Juniper SSG系列VPN配置详细设置图形界面
本次配置使用的是SSG140和SSG20来做站点到站点的基于路由的VPN（两端地址都为静态IP地址）。

下图是拓扑图：我们是在公司内部做配置，所以把外网口直接连接，我们在实验中用ip1。

1。

1.2来代替图中的
2.2.2。

2，这样确保路由没有问题，模拟下图的环境
首先我们说一下配置的思路:
配置基于路由的站点到站点VPN：1。

为绑定到安全区段和通道接口的物理接口分配IP 地址。

2。

配置VPN 通道，在Untrust 区段内指定其外向接口,将其绑定到通道接口，并配置其代理ID。

3. 在Trust 和Untrust 区段的通讯簿中输入本地及远程端点的IP 地址.
4. 输入通向trust—vr 中外部路由器的缺省路由、通过通道接口通向目标的路由以及通向目标的Null 路由。

为Null 路由分配较高的度量（远离零）,以便其成为通向目标的下一个可选路由。

接着，如果通道接口的状态变为“中断”，且引用该接口的路由变为非活动，则安全设备会使用Null 路由（即实质上丢弃了发送给它的任何信息流),而不使用缺省路由（即转发未加密的信息流)。

5. 为每个站点间通过的VPN 流量设置策略。

以下配置为SSG140防火墙
初始化防火墙
Juniper 防火墙出厂时可通过缺省设置的IP 地址使用Telnet 或者Web 方式管理.缺省
IP 地址为:192.168.1.1/255。

255.255。

0。

可以直接通过WEB来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。

1、我们先配置接口eth0/0绑定到trust安全区段，并设置IP为192。

168.1。

3/24，通过console 口来配置:(先配置SSG140，登录的用户名和密码为默认密码：均为netscreen）
SSG140-> unset interface ethernet0/0 ip
SSG140—〉 set interface ethernet0/0 zone trust
SSG140—〉 set interface ethernet0/0 ip 192。

168。

1.3/24
SSG140-> set interface ethernet0/0 manage web
SSG140-〉 save
Save System Configuration 。

接下来我们就可以用WEB来管理设备，推荐使用IE浏览器：
在IE浏览器地址栏里输入http://192.168.1.3用户名和密码均为:netscreen
2、配置其它安全区段并配置地址
定义内网接口
Network > Interfaces 〉Edit ( 对于ethernet0/1)：修改红线部分，然后单击
Apply:
A．Zone Name：这是定义内部LAN的IP，所以应该在Trust安全区段
B．S tatic IP :我们做的是静态IP地址的实验(管理地址应和内网接口地址在同一网段）C．M anagement Services：打开相应的管理服务，以方便远程管理。

D．Other services:允许ping ，方便测试和维护.
定义外网接口：
Network > Interfaces 〉Edit ( 对于ethernet0/3）: 修改红线部分，然后单击Apply：
A.Zone Name:这是定义外部接口，所以应该在Untrust安全区段
B。

Static IP ：我们做的是静态IP地址的实验（管理地址应和内网接口地址在同一网段）C。

Management Services：根据需要打开相应的管理服务，以方便远程管理。

D。

Other services:允许ping ,方便测试和维护.
定义通道接口：
Network > Interfaces 〉New Tunnel IF：修改红线部分，然后单击OK：
A．Zone（VR)：通道接口绑定到Untrust区段
B．U nnumbered:选择绑定的接口
定义内部LAN地址薄:（方便在策略里引用）
Objects > Addresses > List > New:，修改红线部分，然后单击OK:
A．Address Name: 建立一个标识身份的名称
B．I P Adress/Netmask：输入IP地址和子网掩码，24位表示一个网段
C．Z one:选择相应的区段
定义对端LAN地址薄：
Objects > Addresses 〉List > New：，修改红线部分，然后单击OK
A．Address Name: 建立一个标识身份的名称
B．I P Adress/Netmask：输入对端IP地址和子网掩码，24位表示一个网段C．选择相应的区段
VPN配置:
第一阶段：VPNs 〉AutoKey Advanced > Gateway 〉New：修改红线部分，: 预共享密钥为:123456
A．Gateway Name:到达对端的网关地址.
B．S ecurity Level：选择Custom 两方要一致
C．S tatic IP Address:静态IP地址
D．Preshared Key：预共享密钥两方要一致我们这里用123456
E．Outgoing Interface:选择到达对端网关的出口
然后单击Advanced，修改红线部分并单击Return返回，并单击OK。

A．User Defined：选择Custom
B．P hase 1 Proposal 第一阶段提议选择相应的加密和认证算法两方要一致
C．M ode（Initiator):模式这里选择Main主模式（主模式提供身份保护，主动模式不提供身份保护）
第二阶段:VPNs 〉AutoKey IKE 〉New: 输入以下内容，
A．VPN Name:建立名称
B．Security Level:选择Custom 两方配置要一致
C．Remote Gateway：Predefined 选择预定义，选择刚才建立的网关然后单击Advanced，修改红线部分并单击Return返回，并单击OK。

er Defined：选择Custom 并且第二阶段提议以确定要在SA 中应用的安全参数.两方
配置要一致。

B.Bind to :选择Tunnel interface 并且选择前面建立的tunnel。

1通道接口。

C.Proxy-ID:选择并且输入Local IP和Remote IP及子网掩码
D.Service：ANY
路由配置:
默认路由
Network 〉Routing > Routing Entries 〉trust—vr New：修改红线部分，然后单
击OK：
通过通道接口通向目标的路由：
Network > Routing 〉Routing Entries > trust-vr New: 修改红线部分,然后单
击OK:
通向目标的NULL路由
Network > Routing > Routing Entries > trust—vr New: 修改红线部分，然后单
击OK：
策略配置：
配置从trust区段到untrust区段的策略，并加到顶部
Policies 〉（From: Trust，To：Untrust）New：修改红线部分，然后单击OK：
配置从untrust区段到trust区段的策略，并加到顶部
Policies 〉(From: Untrust，To：Trust) 〉New: 修改红线部分，然后单击OK：SSG140上已经配置好了
接下来配置SSG20，以下配置为SSG20防火墙
初始化SSG20防火墙，方法同SSG140相同,参照上文.
初始化后，通过WEB来配置。

配置思路和SSG140相同.我这里设置SSG20管理IP为192.168.1。

4 接下来我们就可以用WEB来管理设备,推荐使用IE浏览器:
在IE浏览器地址栏里输入http://192。

168.1。

4用户名和密码均为:netscreen
1、配置安全区段并配置地址
定义内网接口
Network 〉Interfaces > Edit （对于ethernet0/1）：修改红线部分，然后单击Apply：
注意：绑定trust区段的接口默认为nat模式
定义外网接口：
Network 〉Interfaces > Edit ( 对于ethernet0/3 ）：修改红线部分，然后单击
Apply：
定义通道接口：
Network 〉Interfaces > New Tunnel IF:修改红线部分，然后单击OK:
定义内部LAN地址：
Objects 〉Addresses 〉List > New:，修改红线部分，然后单击OK：
定义对端LAN地址：
Objects > Addresses 〉List > New：,修改红线部分，然后单击OK
VPN配置：
第一阶段：VPNs 〉AutoKey Advanced 〉Gateway > New: 修改红线部分，：预共享密钥为:123456
然后单击Advanced，修改红线部分并单击Return返回,并单击OK。

第二阶段:VPNs 〉AutoKey IKE > New: 输入以下内容
然后单击Advanced，修改红线部分并单击Return返回，并单击OK.
路由配置：
默认路由
Network 〉Routing 〉Routing Entries 〉trust—vr New：修改红线部分，然后单击OK:
通过通道接口通向目标的路由：
Network 〉Routing > Routing Entries 〉trust-vr New: 修改红线部分，然后单
击OK:
通向目标的NULL路由
Network 〉Routing 〉Routing Entries > trust—vr New：修改红线部分，然后单击OK：
策略配置：
配置从trust区段到untrust区段的策略，并加到顶部
Policies 〉（From: Trust, To: Untrust）New: 修改红线部分，然后单击OK:
配置从untrust区段到trust区段的策略，并加到顶部
Policies > (From：Untrust, To：Trust）> New: 修改红线部分，然后单击OK:
配置结束，我们进行简单的测试一下，SSG140和SSG20的内网口分别连接一个机器，IP地址改为对应的内网地址,用PING测试一下能否从一端的内网到另一端的内网.。