Juniper-SSG系列-VPN配置详细设置图形界面

Juniper-SSG系列-VPN配置详细设置图形界面
Juniper SSG系列VPN配置详细设置图形界面
本次配置使用的是SSG140和SSG20来做站点到站点的基于路由的VPN（两端地址都为静态IP地址）。

下图是拓扑图：我们是在公司内部做配置，所以把外网口直接连接，我们在实验中用ip1.1.1.2来代替图中的 2.2.2.2,这样确保路由没有问题，模拟下图的环境
首先我们说一下配置的思路：
配置基于路由的站点到站点VPN：1. 为绑定到安全区段和通道接口的物理接口分配IP 地址。

2. 配置VPN 通道，在Untrust 区段内指定其外向接口，将其绑定到通道接口，并配置其代理ID。

3. 在Trust 和Untrust 区段的通讯簿中输入本地及远程端点的IP 地址。

4. 输入通向trust-vr 中外部路由器的缺省路由、通过通道接口通向目标的路由以及通向目标的Null 路由。

为Null 路由分配较高的度量( 远离零)，以便其成为通向目标的下一个可选路由。

接着，如果通道接口的状态变为“中断”，且引用该接口的路由变为非活动，则安全设备会使用Null 路由( 即实质上丢弃了发送给它的任何信息流)，而不使用缺省路由( 即转发未加密的信息流)。

5. 为每个站点间通过的VPN 流量设置策略。

以下配置为SSG140防火墙
初始化防火墙
Juniper 防火墙出厂时可通过缺省设置的IP 地址使用Telnet 或者Web 方式管理。

缺省
IP 地址为：192.168.1.1/255.255.255.0。

可以直接通过WEB来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。

1、我们先配置接口eth0/0绑定到trust安全区段，并设置IP为192.168.1.3/24，通过console 口来配置：（先配置SSG140，登录的用户名和密码为默认密码：均为netscreen）
A．Zone Name:这是定义内部LAN的IP，所以应该在Trust安全区段
B．Static IP :我们做的是静态IP地址的实验（管理地址应和内网接口地址在同一网段）C．Management Services:打开相应的管理服务，以方便远程管理。

D．Other services:允许ping ，方便测试和维护。

定义外网接口：
Network > Interfaces > Edit ( 对于ethernet0/3): 修改红线部分，然后单击Apply:
A.Zone Name:这是定义外部接口，所以应该在Untrust安全区段
B.Static IP :我们做的是静态IP地址的实验（管理地址应和内网接口地址在同一网段）
C.Management Services:根据需要打开相应的管理服务，以方便远程管理。

D.Other services:允许ping ，方便测试和维护。

定义通道接口：
Network > Interfaces > New Tunnel IF:修改红线部分，然后单击OK:
A．Zone(VR):通道接口绑定到Untrust区段B．Unnumbered:选择绑定的接口
定义内部LAN地址薄：（方便在策略里引用）Objects > Addresses > List > New:，修改红线部分，然后单击OK:
A．Address Name: 建立一个标识身份的名称B．IP Adress/Netmask:输入IP地址和子网掩码，24位表示一个网段
C．Zone:选择相应的区段
定义对端LAN地址薄：
Objects > Addresses > List > New:，修改红线部分，然后单击OK
A．Address Name: 建立一个标识身份的名称B．IP Adress/Netmask:输入对端IP地址和子网掩码，24位表示一个网段
C．选择相应的区段
VPN配置：
第一阶段：VPNs > AutoKey Advanced > Gateway > New: 修改红线部分，:
预共享密钥为：123456
A．Gateway Name:到达对端的网关地址。

B．Security Level:选择Custom 两方要一致C．Static IP Address:静态IP地址D．Preshared Key:预共享密钥两方要一致我们这里用123456
E．Outgoing Interface:选择到达对端网关的出口
然后单击Advanced，修改红线部分并单击Return返回，并单击OK。

A．User Defined:选择Custom
B．Phase 1 Proposal 第一阶段提议选择相应的加密和认证算法两方要一致
C．Mode(Initiator)：模式这里选择Main主模式（主模式提供身份保护，主动模式不提供身份保护）
第二阶段：VPNs > AutoKey IKE > New: 输入以下内容，
A．VPN Name:建立名称
B．Security Level:选择Custom 两方配置要一致
C．Remote Gateway:Predefined 选择预定义,选择刚才建立的网关
然后单击Advanced，修改红线部分并单击Return返回，并单击OK。

A.U ser Defined: 选择Custom 并且第二阶段提议以确定要在SA 中应用的安全参数。

两方配置要一致。

B.Bind to :选择Tunnel interface 并且选择前面建立的tunnel.1通道接口。

C.Proxy-ID:选择并且输入Local IP和Remote IP及子网掩码
D.Service: ANY
路由配置：
默认路由
Network > Routing > Routing Entries > trust-vr New:修改红线部分，然后单
击OK:
通过通道接口通向目标的路由：
Network > Routing > Routing Entries > trust-vr New: 修改红线部分，然后单击OK:
通向目标的NULL路由
Network > Routing > Routing Entries > trust-vr New: 修改红线部分，然后单击OK:
策略配置：
配置从trust区段到untrust区段的策略，并加到顶部
Policies > (From: Trust, To: Untrust) New: 修改红线部分，然后单击OK:
配置从untrust区段到trust区段的策略，并加到顶部
Policies > (From: Untrust, To: Trust) > New: 修改红线部分，然后单击OK:
SSG140上已经配置好了
接下来配置SSG20，以下配置为SSG20防火墙
初始化SSG20防火墙，方法同SSG140相同，参照上文。

初始化后，通过WEB来配置。

配置思路和SSG140相同。

我这里设置SSG20管理IP为192.168.1.4 接下来我们就可以用WEB来管理设备，推荐使用IE浏览器：
在IE浏览器地址栏里输入http://192.168.1.4用户名和密码均为:netscreen
1、配置安全区段并配置地址
定义内网接口
Network > Interfaces > Edit ( 对于ethernet0/1): 修改红线部分，然后单击Apply:
注意：绑定trust区段的接口默认为nat模式
定义外网接口：
Network > Interfaces > Edit ( 对于ethernet0/3 ): 修改红线部分，然后单击Apply:
定义通道接口：
Network > Interfaces > New Tunnel IF:修改红线部分，然后单击OK:
定义内部LAN地址：
Objects > Addresses > List > New:，修改红线部分，然后单击OK:
定义对端LAN地址：
Objects > Addresses > List > New:，修改红线部分，然后单击OK
VPN配置：
第一阶段：VPNs > AutoKey Advanced > Gateway > New: 修改红线部分，:
预共享密钥为：123456
然后单击Advanced，修改红线部分并单击Return返回，并单击OK。

第二阶段：VPNs > AutoKey IKE > New: 输入以下内容
然后单击Advanced，修改红线部分并单击Return返回，并单击OK。

路由配置：
默认路由
Network > Routing > Routing Entries > trust-vr New:修改红线部分，然后单击OK:
通过通道接口通向目标的路由：
Network > Routing > Routing Entries > trust-vr New: 修改红线部分，然后单
击OK:
通向目标的NULL路由
Network > Routing > Routing Entries > trust-vr New: 修改红线部分，然后单击OK:
策略配置：
配置从trust区段到untrust区段的策略，并加到顶部
Policies > (From: Trust, To: Untrust) New: 修改红线部分，然后单击OK:
配置从untrust区段到trust区段的策略，并加到顶部
Policies > (From: Untrust, To: Trust) > New: 修改红线部分，然后单击OK:
配置结束，我们进行简单的测试一下，SSG140和SSG20的内网口分别连接一个机器，IP地址改为对应的内网地址，用PING测试一下能否从一端的内网到另一端的内网。