Juniper防火墙远程VPN配置图解

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

Juniper防火墙远程VPN访问配置手册ByMast2009年11月11日目录一、无用户认证方式.................................................-1-1、建立用户........................................................-1-2、建立VPN网关.................................................-3-3、建立AutoKeyIKE...........................................-6-4、建立内部地址池..............................................-9-5、建立VPN策略...............................................-10-6、客户端软件设置............................................-13-二、有用户认证方式...............................................-18-1、建立用户......................................................-18-2、建立用户组...................................................-19-3、建立VPN网关...............................................-21-4、设置认证......................................................-22-5、建立AutoKeyIKE.........................................-23-6、建立内部地址池............................................-25-7、建立策略......................................................-25-8、建立认证用户................................................-26-9、客户端软件设置............................................-28-Juniper防火墙远程VPN访问配置手册Juniper防火墙除了可以实现Site-to-Site的IPSecVPN访问之外,还可以实现Remote-to-Site的IPSecVPN访问,极大的方便了移动办公的用户,并且适应能力较强。笔者曾经碰到过在用Cisco的IPSecVPN客户端和远程的中心站点能够建立连接,但不能访问的情况,而换成了Juniper的防火墙和它的VPN客户端却能够正常的建立连接并实现对内部局域网的访问。Juniper防火墙的VPN客户端可以实现两种方式,一种是公用同一个用户的设置就可以建立VPN的连接,而另一种是需要建立用户,并对每个用户进行认证,认证通过之后才可以建立VPN连接。下面分别介绍两种方式的配置过程。硬件平台:JuniperSSG140软件版本:ScreenOS6.1.0r2.0(Firewall+VPN)客户端软件:NetScreen-RemoteVPNClient9.0r3一、无用户认证方式1、建立用户登录到防火墙,依次选择Objects-Users-Local-New,如图1所示:武汉市德发电子信息有限责任公司-1-Juniper防火墙远程VPN访问配置手册图1如图2所示输入以下内容:UserName:whdf;Status:选择Enable;IKEUser:勾选;SimpleIdentity:选择;IKEIDType:选择AUTO;IKEIdentity:输入whdf@defa.com,必须以电子邮件地址的格式输入;然后单击OK按钮,用户建立完成。武汉市德发电子信息有限责任公司-2-Juniper防火墙远程VPN访问配置手册图22、建立VPN网关依次选择VPNs-AutoKeyAdvanced-Gateway-New,如图3所示:武汉市德发电子信息有限责任公司-3-Juniper防火墙远程VPN访问配置手册图3如图4所示输入以下内容:GatewayName:dfgw,给网关取个名,可以任意取名,自己好记就可以了;DialupUser:选择;User:在下拉列表框中选择刚才建立的用户whdf;单击Advanced按钮,进入到高级设置页面。武汉市德发电子信息有限责任公司-4-Juniper防火墙远程VPN访问配置手册图4在高级设置页面进行以下设置,如图5所示:PresharedKey:12345678,采用预共享密码的验证方式,这里的设置需要和远程客户端软件的设置相同,自己可以随意定义,只要保持一致就可以;OutgoingInterface:选择ethernet0/2接口,这个接口必须是选择防火墙的公网的接口,在Juniper的防火墙中,默认是ethernet0/2接口;UserDefined:选择Custom;Phase1Proposal:在第一个下拉列表框中选择pre-g2-des-MD5。这里是定义IPSec阶段一的安全参数,这个选择表示采用Preshare(预共享)方式验证对等体,采用组2的密钥交换算法,可以提供1024位的密钥强度,加密算法采用1倍的DES,验证采用MD5算法,另外几个下拉列表框也可以选择,组成IPSec阶段一的安全参数的组合,选择得越多,安全性也就越高,但在通讯中的开销也就越大,这里就选择了较简单的方式;Mode(Initiator):选择Aggressive模式,必须选择积极模式,否则和客武汉市德发电子信息有限责任公司-5-Juniper防火墙远程VPN访问配置手册户端的VPN建立不起来;EnableNAT-Traversal:勾选,允许NAT穿越;设置完成后,单击页面下方的Reture按钮,返回到图4的页面,再单击OK按钮,完成VPN网关的设置。图53、建立AutoKeyIKE依次选择VPNs-AutoKeyIKE-NEW,如图6所示:武汉市德发电子信息有限责任公司-6-Juniper防火墙远程VPN访问配置手册图6如图7所示,输入以下内容:VPNName:dfvpn,取个名字用来标示VPN;RemoteGateway:选择Predefined,并在后面的下拉列表框中选择上一步定义的网关dfgw;单击Advanced按钮,进入到高级设置页面。武汉市德发电子信息有限责任公司-7-Juniper防火墙远程VPN访问配置手册图7在高级设置页面进行如下设置,如图8所示:UserDefined:选择Custom;Phase2Proposal:在第一个下拉列表框中选择nopfs-esp-des-md5,这是定义IPSecVPN阶段二的安全参数,nopfs表示不采用完全前向加密,esp表示采用esp协议封装数据包,提供对整个数据包的保护,加密算法采用1倍的des,认证采用MD5算法。和阶段一中的设置一样,也可以采用多种参数的组合,以提高安全性,这里只采用了较为简单的方式以减少开销。设置完成后,单击页面下方的Return按钮,返回到图7所示的页面,并单击该页面下方的OK按钮,完成阶段二的配置。武汉市德发电子信息有限责任公司-8-Juniper防火墙远程VPN访问配置手册图84、建立内部地址池依次选择-Policy-PolicyElements-Addresses-List,在页面上的下拉列表框中选择Trust,并单击New按钮,如图9所示:图9在新建地址本页面输入以下内容,如图10所示:武汉市德发电子信息有限责任公司-9-Juniper防火墙远程VPN访问配置手册AddressName:whdf,给地址本取个名字;IPAddress/Netmask(wildcardmask):192.168.4.0/22,这里是定义允许让VPN客户端访问的局域网地址段。完成后单击OK按钮,完成地址本的配置。图105、建立VPN策略依次选择Policy-Policies,From下拉列表框选择Untrust,To下拉列表框选择Trust,然后单击New按钮,如图11所示:武汉市德发电子信息有限责任公司-10-Juniper防火墙远程VPN访问配置手册图11在图12所示的页面中输入如下内容:SourceAddress:选择AddressBookEntry,在下拉列表框中选择Dial-UPVPN;DestinationAddress:选择AddressBookEntry,在下拉列表框中选择刚才定义的地址本whdf;Action:选择Tunnel;Tunnel:选择第三步建立的参数dfvpn;Logging:勾选,启用VPN的访问日志记录,这一步是可选的;PositionatTop:勾选,将本条策略放到所有策略的顶端,因为策略是按顺序执行的,把VPN的策略放在第一条,保证能够被最先执行。设置完成后,单击页面下方的Advanced按钮,进入高级设置页面。武汉市德发电子信息有限责任公司-11-Juniper防火墙远程VPN访问配置手册图12进入到如图13所示的高级页面,进行以下设置:NAT:勾选SourceTranslation;这里是使用防火墙的Trust接口进行地址转换,以便能够访问内部资源。如果不选择,会出现VPN能够正常建立连接,但不能访问内部网络的情况。单击页面下方的OK按钮,退出设置。图13到这一步,在防火墙上的设置完成,下面需要在IPSecVPN客户端软件上武汉市德发电子信息有限责任公司-12-Juniper防火墙远程VPN访问配置手册进行设置。6、客户端软件设置首先完成客户端软件的安装,在安装过程中会有几个地方要修改注册表,如果安装有360之类的安全软件,会有提示的,请允许修改,否则安装不会成功。安装完成并重新启动计算机后,在任务栏右下角托盘区会出现一个名为Netscreen-Remote的蓝色小图标,在该图标上双击,打开安全策略编辑器。打开后,在MyConnections右键单击,添加一个连接,如图14所示:图14新建连接取名whdf,并进行相应的设置,如图15所示:ID:选择IPSubnet;Subnet和Mask:输入192.168.4.0/255.255.252.0,和防火墙中设置的地址本保持一致;武汉市德发电子信息有限责任公司-13-Juniper防火墙远程VPN访问配置手册Use:勾选,并在下拉列表框中选择SecureGatewayTunnel;ID:选择IPAddress,并在下面的输入框中输入防火墙公网接口的地址。图15单击刚才新建连接whdf旁边的加号,再单击MyIdentity,进行以下设置:ID:在下拉列表框中选择E-mailAddress,再在下面的输入框中输入whdf@defa.com,必须和第一步中输入的IKEIdentity保持一致。然后再单击Pre-SharedKey按钮,弹出如图17所示对话框。武汉市德发电子信息有限责任公司-14-Juniper防火墙远程VPN访问配置手册图16图17单击EnterKey按钮,并在文本框中输入防火墙中设定的预共享密码12345678,必须和第二步输入的预共享密码保持一致,然后单击OK按钮。武汉市德发电子信息有限责任公司-15-Juniper防火墙远程VPN访问配置手册图18如图18所示,单击SecurityPolicy,在右边单击AggressiveMode,选择积极模式。单击Authentication(Phase1)左边的加号展开,单击Proposal1,在右边进行如下设置,如图19所示:Authentication:在下拉列表框中选择Pre-SharedKey;Encryp

1 / 31
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功