《JuniperVpn配置详细图解》由会员分享,可在线阅读,更多相关《JuniperVpn配置详细图解(21页珍藏版)》请在金锄头文库上搜索。
1、本文描述了以 juniper 防火墙为核心的 HUB 结构的 VPN 连接方式配置图解,核心为 Juniper 防火墙配置固定外部 IP 地址,分支为 juniper 防火墙、vigor 路由器、Fortigate 防火墙,分支均为ADSL 访问互联网。分支静态接入互联网配置方式相同。文档结尾附有核心端 vpn 的命令行配置方法。核心端配置指导对于 Ns25 分支第一步:建立 tunnelNetwork Interfaces (List)Tunnel 的名字 自定义。Zone (VR) 选择用于 VPN 连接的外网 zone 名, “用于 VPN 连接的接口 zone 名(trust-vr)
2、”Interface 选择 “用于 VPN 连接的外网接口 ”第二步:建立 VPNs AutoKey Advanced GatewayGateway name 自定义选择 Compatible选择 Dynamic IP addressPeer ID 自定义 (必须与分支相同)Preshared key 自定义点击“Advanced ”按照如下填写即可。第三步: 建立 VPNs AutoKey IKEVpn Name 自定义选择 compatibleRemote Gateway 选择 “Predefined”选择刚才建立的 Gateway name 其他默认点击“Advanced ”Securi
3、ty Level 按照默认填写Bind to 选择“Tunnel Interface” 选择 刚才建立的 tunnel nameLocal IP / Netmask 选择 本地被访问的资源网段Remote IP / Netmask 选择 远端 VPN 用户网段其他选项按照图示填写即可。第四步: 建立路由 Network Routing Routing EntriesNetwork Address / Netmask 填写 远程 VPN 用户网段选择 “Gateway” 在 Interface 中选择 上面刚建立过的 tunnel name对于 vigor第一步:建立 tunnelNetwork
4、 Interfaces (List)Tunnel 的名字 自定义。Zone (VR) 选择用于 VPN 连接的外网 zone 名, “用于 VPN 连接的接口 zone 名(trust-vr) ”Interface 选择 “用于 VPN 连接的外网接口 ”第二步:建立 VPNs AutoKey Advanced GatewayGateway name 自定义选择 Custom选择 Dynamic IP addressPeer ID 自定义 (必须与分支端相同)Preshared key 自定义点击“Advanced ”按照如下填写即可。第三步: 建立 VPNs AutoKey IKEVpn N
5、ame 自定义选择 CustomRemote Gateway 选择 “Predefined” 选择刚才建立的 Gateway name其他默认点击“Advanced ”Security Level 按照默认填写Bind to 选择“Tunnel Interface” 选择 刚才建立的 tunnel nameLocal IP / Netmask 选择 本地被访问的资源网段Remote IP / Netmask 选择 远端 VPN 用户网段其他选项按照图示填写即可。第四步: 建立路由 Network Routing Routing EntriesNetwork Address / Netmask
6、填写 远程 VPN 用户网段选择 “Gateway” 在 Interface 中选择 上面刚建立过的 tunnel name对于 Fortigate第一步:建立 tunnelNetwork Interfaces (List)Tunnel 的名字 自定义。Zone (VR) 选择用于 VPN 连接的外网 zone 名, “用于 VPN 连接的接口 zone 名(trust-vr) ”Interface 选择 “用于 VPN 连接的外网接口 ”第二步:建立 VPNs AutoKey Advanced GatewayGateway name 自定义选择 Custom选择 Dynamic IP add
7、ressPeer ID 自定义Preshared key 自定义点击“Advanced ”按照如下填写即可。第三步: 建立 VPNs AutoKey IKEVpn Name 自定义选择 CustomRemote Gateway 选择 “Predefined” 选择刚才建立的 Gateway name其他默认点击“Advanced ”Security Level 按照默认填写Bind to 选择“Tunnel Interface” 选择 刚才建立的 tunnel nameLocal IP / Netmask 选择 本地被访问的资源网段Remote IP / Netmask 选择 远端 VPN 用
8、户网段其他选项按照图示填写即可。第四步: 建立路由 Network Routing Routing EntriesNetwork Address / Netmask 填写 远程 VPN 用户网段选择 “Gateway” 在 Interface 中选择 上面刚建立过的 tunnel nameVPN 客户端配置对于 vigor使用 http 登陆 vigor 管理地址 (出厂默认地址 192.168.1.1)点击“VPN and Remote Access Setup”点击“Lan-to-Lan Profile Setup”点击“1”新建 VPN 连接Profile Name 自定义(必须与核心端
9、名字对应上)IKE Pre-Shared Key 中填写与核心端相同的参数Server IP 一栏中填入 核心端防火墙的外网地址点击“Advance ”其中的 Local ID 填写与核心端对应的 VPN 相同的参数其他参数都按照图中默认填写其他参数都按照图中默认填写对于 Netscreen 第一步:建立 tunnelNetwork Interfaces (List)Tunnel 的名字 自定义。Zone (VR) 选择用于 VPN 连接的外网 zone 名, “用于 VPN 连接外网的接口 zone 名(trust-vr) ”Interface 选择 “用于 VPN 连接的外网接口 ”第二步
10、:建立 VPNs AutoKey Advanced GatewayGateway name 自定义选择 Compatible选择 Static IP AddressIP Address/Hostname 选择核心 VPN 节点的 ip 地址Preshared key 自定义Local ID 必须与核心端点击“Advanced ”按照如下填写即可。第三步: 建立 VPNs AutoKey IKEVpn Name 自定义选择 CompatibleRemote Gateway 选择 “Predefined” 选择刚才建立的 Gateway name其他默认点击“Advanced ”Security
11、Level 按照默认填写Bind to 选择“Tunnel Interface” 选择 刚才建立的 tunnel nameLocal IP / Netmask 选择 本地被访问的资源网段Remote IP / Netmask 选择 远端 VPN 用户网段其他选项按照图示填写即可。第四步: 建立路由 Network Routing Routing EntriesNetwork Address / Netmask 填写 远程 VPN 用户网段选择 “Gateway” 在 Interface 中选择 上面刚建立过的 tunnel nameFortigate 分支配置建立一个地址对象,对象地址段为远端
12、用户地址段,接口选择上面建立的第一阶段vpn gw 的名称。建立“第一阶段 vpn gw 的名称 ”与外部网络接口间的双向策略。建立指向远程网段路由,下一条指向“第一阶段 vpn gw 的名称”接口。Juniper 防火墙 vpn 命令行配置方法创建隧道接口set interface tunnel.91 zone outsideset interface tunnel.91 ip unnumbered interface ethernet0/2set interface tunnel.91 mtu 1500创建 VPN gataway1、对于 netscreen 客户端set ike gate
13、way gw91 address 0.0.0.0 id Aggr outgoing-interface ethernet0/2 preshare 12345678 sec-level compatibleset ike gateway gw91 nat-traversal udp-checksumset ike gateway gw91 nat-traversal keepalive-frequency 52、对于 vigor 客户端set ike gateway gw91 address 0.0.0.0 id Aggr outgoing-interface ethernet0/2 pre
14、share 12345678 proposal pre-g1-des-md5set ike gateway gw91 nat-traversal udp-checksumset ike gateway gw91 nat-traversal keepalive-frequency 53、对于 fortigateset ike gateway gw91 address 0.0.0.0 id vpn91 Aggr outgoing-interface ethernet0/2 preshare 12345678 proposal pre-g2-3des-md5 pre-g2-des-shaset ik
15、e gateway gw91 nat-traversal udp-checksumset ike gateway gw91 nat-traversal keepalive-frequency 5创建 AutoKey1、对于 netscreen 客户端set vpn vpn91 gateway gw91 no-replay tunnel idletime 0 sec-level compatibleset vpn vpn91 monitor rekeyset vpn vpn91 bind interface tunnel.91set vpn vpn91 proxy-id local-ip 192.168.0.0/16 remote-ip 192.168.91.0/24 ANY 2、对于 vigor 客户端set vpn vpn91 gateway gw91 no-replay tunnel idletime 0 proposal nopfs-esp-des-md5 set vpn vpn91 monitorset vpn vpn91 bind interface tunnel.91set vpn vpn91 proxy-id
