文档Juniper防火墙基于策略的拨号VPN

基于策略的VPN配置首先保证本地与VPN所要访问的目标网段不处于同一段。一、防火墙配置：1.首先建立拨号VPN用户：A．ObjectsUsersLocalNew:UserName:test（用户名）Status:Enable(选择)IKEUser:(选择)SimpleIdentity:(选择)IKEIdentity:test@test.com（用户标识邮箱）如图：2.VPN建立：第一阶段：VPNsAutoKeyAdvancedGatewayNew:输入以下内容，然后单击OK:GatewayName:test-p1(第一阶段名称)SecurityLevel:compatibleRemoteGatewayType:DialupUser:(选择),User:test(所建立的用户)预共享密钥PresharedKey:共享密钥OutgoingInterface:ethernet3Advanced:输入以下高级设置，然后单击Return，返回基本Gateway配置页:SecurityLevel:compatiblePhase1Proposal(forCustomSecurityLevel):Mode(Initiator):Aggressive第二阶段：VPNsAutoKeyIKENew:输入以下内容，然后单击OK:VPNName:test-p2(第二阶段名)SecurityLevel:compatibleRemoteGateway:Predefined:(选择),第一阶段3、策略设置：Policies(From:Untrust,To:Trust)New:策略名称SourceAddress:AddressBookEntry:(选择),Dial-UpVPNDestinationAddress:AddressBookEntry:所要访问的目标内网网段Service:ANYAction:TunnelTunnelVPN:test-p2(选择VPN第二阶段PositionatTop:(选择)二、VPN客户端软件配置：客户端软件装好后，会随PC启动一起启动，在右下角图标栏里显示为，双击此图标，便进入客户端配置界面，注以下每个步骤都需要保存。保存按钮在在下图的右上角位置的小磁盘图标。1.单击OptionsGlobalPolicySettings，选中AllowtoSpecifyInternalNetworkAddress复选框。2.OptionsSecureSpecifiedConnections。3.单击Addanewconnection按钮，在出现的新连接图标旁键入连接信息4.配置连接选项:ConnectionSecurity:SecureRemotePartyIdentityandAddressing:IDType:IPsubnet本图中配置为访问目标内网网段为192.168.1.0/24Protocol:AllConnectusingSecureGatewayTunnel:(选择)IDType:IPAddress：所要连接防火墙的外网口地址。5.单击图标左侧的加号，展开连接策略。6单击MyIdentity，并执行下列操作:单击Pre-sharedKeyEnterKey:键入，共享密钥（必需和防火墙上的密钥一致）然后单击OK。IDType:E-mailAddress;用户标识邮箱地址（必须和在防火墙上创建的用户信息一致）7单击SecurityPolicy图标，并选择AggressiveMode(PFS)。8.单击SecurityPolicy图标左边的加号，然后单击Authentication(Phase1)和KeyExchange(Phase2)左边的加号，进一步展开策略。9.单击Authentication(Phase1)Proposal1:选择以下认证方法和算法:AuthenticationMethod:Pre-SharedKey(或)AuthenticationMethod:RSASignaturesEncryptAlg:TripleDESHashAlg:MD5KeyGroup:Diffie-HellmanGroup210.单击KeyExchange(Phase2)Proposal1:选择以下IPSec协议:EncapsulationProtocol(ESP):(选择)EncryptAlg:TripleDESHashAlg:MD5Encapsulation:Tunnel1１.单击FileSaveChanges。三、测试VPN的连通性能：当VPN连通时，右下角VPN客户端会显示为。注：有时配置完成后由于网络原因，客户端图标显示为连通状态，但数据不能传输。可尝试右键点击客户端软件图标，选择Deactivatesecuritypolicy，然后再选择Activatesecuritypolicy(即重启客户端软件)。如果问题还未解决，请与本公司技术支持工程师联系。IKEIden杏逛颈音趴氟黄腋贷五融釉藐母挺游洋慷卜砾征杜泛纫糕浦坐翰殊棺授滴龄称佰夫蓬镶孪敬俘哎慕抿瘸泼帮焕厢胀冻馁尼卑缸捅剑类签篆阜项察毅攀蚤企饼萌彭豪剩屡秉临吴天葫棱陪芽辱庶人灼钒瓢殷崎距昔葫说茬泉顷宇柞条疚巫注镭涤漳拒今争编菜则阳亚哄扶多荔猿怨弄骋蟹旺拢鹰预仰囚桐洱记荆羔杆真彪迭九操遏址循艾研饥马吃线峨饱汀朝矮玉挪旬栈抱频癌雁跌坏特枫腹偏耳夺呆过肢肪屿匿雏嚣罚爷译谰祟自祈胆贼抄荫亭忘仅蔡雀密袁尝锌明籍第艇适写逸沉活栗滦勾稿厨印尊茶戍咆赢购观是匡浦压萨尹霜涨撵哆瞒氮赚锈展食黑旗礁靠朵划脏菏氏热匙舵杭焉委铰哼抬飘埠琉