資源描述:
《Juniper Ipsec VPN 配置手冊(cè)》由會(huì)員上傳分享�,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1�、Juniper的防火墻基本都集成了VPN功能,VPN功能是企業(yè)網(wǎng)絡(luò)非常常用的功能���,建立VPN后可以確保數(shù)據(jù)傳輸?shù)陌踩浴_@里就介紹一下Juniper防火墻配置兩端都是固定IP的IPsecVPN的步驟���,關(guān)于IPsecVPN的介紹可以參考[IPSecVPN的詳細(xì)介紹]����。在左側(cè)的菜單欄下VPN菜單可以看到配置VPN需要用到的一些配置元素1����、建立VPN網(wǎng)關(guān)首先需要在VPNs>AutoKeyAdvanced>Gateway下新建一個(gè)VPN網(wǎng)關(guān),如下圖所示��,這個(gè)界面下我已經(jīng)建立了多個(gè)VPN網(wǎng)關(guān)���,這臺(tái)Juniper防火墻是放在上海的辦公室的���,需要
2����、和北京的辦公室建立一個(gè)IPsecVPN��。其中“PeerType”表示VPN的類型�,Dialup是撥號(hào)VPN,Dynamic是一端是動(dòng)態(tài)地址的VPN����,static是兩端都是固定IP的VPN。Gatewayname起個(gè)容易記得住的名稱�,因?yàn)槿绻鸙PN多了就分部清是到哪里的VPN網(wǎng)關(guān)了Remotegateway填遠(yuǎn)端防火墻的外網(wǎng)IP地址DynamicIPAddress如果對(duì)端是adsl撥號(hào)這樣的動(dòng)態(tài)IP,需要填寫遠(yuǎn)端的PeerID���,該P(yáng)eerID需要在遠(yuǎn)端預(yù)設(shè)���,名稱的自己隨便起,只要網(wǎng)關(guān)的PeerID和遠(yuǎn)端的LocalID一樣就可以了�,關(guān)
3、于localid的設(shè)置在下面介紹�。點(diǎn)擊advanced進(jìn)入高級(jí)設(shè)置:PresharedKey這是預(yù)設(shè)共享密鑰,非常重要���,VPN建立時(shí)驗(yàn)證使用的����,兩端要保持一致localID這是用在有一端是動(dòng)態(tài)IP,也就是給動(dòng)態(tài)IP的一端起個(gè)名字����,這樣IP地址變了可以根據(jù)localID來識(shí)別動(dòng)態(tài)IP端得防火墻設(shè)備。要與遠(yuǎn)端防火墻的peerid保持一致��。OutgoingInterface這是指定出口的接口���,一半來說是Untrust接口,截圖是在編輯模式����,因此不能修改,在新建模式是可以選擇接口的�。SecurityLevel安全等級(jí)可以自定義,前提是兩邊防
4���、火墻選擇的加密方式要一致�����,我這邊圖省事�,使用的是默認(rèn)設(shè)置。Mode(Initiator)連接模式我這邊選擇的是?Aggressive(野蠻模式)��,這個(gè)模式建立VPN連接的速度比較快��。接下來的參數(shù)全部選擇默認(rèn)就可以了��。2�、建立autokeyIKE建立好gateway之后,接下來就可以在VPNs>AutoKeyIKE下建立一個(gè)AutoKeyIKEVPNName隨便起�����,自己分的清就行了RemoteGateway?選擇前面設(shè)置的vpn網(wǎng)關(guān)名稱接下來進(jìn)入高級(jí)設(shè)置高級(jí)設(shè)置也沒什么高級(jí)的��,只要選擇一下SecurityLevel二次驗(yàn)證的加密方式就
5����、行了。3��、建立VPNPolicy接下來就需要設(shè)置一條策略允許VPN建立連接訪問?在policy界面下選擇從Untrust到Trust建立一條心策略SourceAddress源地址為遠(yuǎn)端內(nèi)網(wǎng)網(wǎng)段DestinationAddress目的地址為本地網(wǎng)段Action選擇Tunnel���,也就是走VPN隧道Tunnel選擇你建立的IKEModifymatchingbidirectionalVPNpolicy?打上鉤����,就是同時(shí)建立一條反向策略,允許VPN兩端互訪����。4、建立發(fā)起IPsecVPN連接及查看狀態(tài)這樣IPsecVPN的一端已經(jīng)設(shè)置好了��,再在
6�����、對(duì)端做相同的設(shè)置�。VPN的建立需要有數(shù)據(jù)通信才會(huì)建立,如果兩邊都是固定IP��,ping一下對(duì)端的內(nèi)網(wǎng)網(wǎng)關(guān)��,如果一端是動(dòng)態(tài)IP的話就必須從動(dòng)態(tài)IP端發(fā)起連接才能順利建立IPsecVPN的連接��。沒設(shè)置錯(cuò)的話一條IPsecVPN就建立起來了���。在VPNs>MonitorStatus界面下可以看到VPN的狀態(tài)
