Juniper-VPN基本配置

VPNVPN基本配置基本配置2课程目标课程目标•Site-to-SiteVPN配置基本流程•Site-to-SiteVPN配置图例及要点说明•Dial-UpVPN配置基本流程•Dial-UpVPN配置图例及要点说明3课程目标课程目标•Site-to-SiteVPN配置基本流程•Site-to-SiteVPN配置图例及要点说明•Dial-UpVPN配置基本流程•Dial-UpVPN配置图例及要点说明4SitetoSiteVPNSitetoSiteVPN配置的组成配置的组成•Phase1部分–IKEGateway名称–VPN的向外接口–IKEGateway地址–Phase1协议•Pre-sharedKey•Diffie-Hellmangroupnumber•EncryptionAlgorithm•AuthenticationAlgorithm•Phase2部分–VPNn名称–Phase2proposal•Diffie-HellmangroupnumberforPFS(optional)•IPSecprotocol(ESPorAH)•EncryptionAlgorithm•AuthenticationAlgorithm•VPN安全策略5课程目标课程目标•Site-to-SiteVPN配置基本流程•Site-to-SiteVPN配置图例及要点说明•Dial-UpVPN配置基本流程•Dial-UpVPN配置图例及要点说明6配置配置IKEGatewayIKEGateway•IKEPhase1对方对方VPNVPN设备的网关设备的网关向外接口向外接口VPNsAutoKeyAdvancedGatewayEdit7配置配置IKEGatewayIKEGateway高级选项高级选项•IKEPhase1VPNsAutoKeyAdvancedGatewayEditVPNVPN双方的模式必须一致双方的模式必须一致8配置配置IKEVPNIKEVPN•IKEPhase2VPNsAutoKeyIKEEdit在下拉菜单选取前面定在下拉菜单选取前面定义的义的IKEGatewayIKEGateway9配置配置IKEVPNIKEVPN高级选项高级选项•IKEPhase2VPNsAutoKeyIKEEdit(Advanced)10配置地址对象配置地址对象•地址对象是通过VPN隧道进行通行的本地地址与远端地址ObjectsAddressesEdit10.1.0.5Trust10.1.0.1Untrust1.1.1.250Untrust4.4.4.250HOMEOFFICECORPOFFICE10.50.0.0/1611UseexistingaddressUseexistingaddressobjectsorcreatenewonesobjectsorcreatenewones配置配置VPNVPN安全策略安全策略选取前面设定的地址对象选取前面设定的地址对象选取安全隧道选取安全隧道选取前面设定的选取前面设定的IKEVPNIKEVPNPoliciesEdit12课程目标课程目标•Site-to-SiteVPN配置基本流程•Site-to-SiteVPN配置图例及要点说明•Dial-UpVPN配置基本流程•Dial-UpVPN配置图例及要点说明13DialDial--upVPNupVPN配置的组成配置的组成•Phase1部分与SitetoSiteVPN有一定地差别–IKEGateway名称–VPN的向外接口–IKEGateway地址–Phase1协议•Pre-sharedKey•Diffie-Hellmangroupnumber•EncryptionAlgorithm•AuthenticationAlgorithm•Phase2部分与SitetoSiteVPN设置内容一致–VPNn名称–Phase2proposal•Diffie-HellmangroupnumberforPFS(optional)•IPSecprotocol(ESPorAH)•EncryptionAlgorithm•AuthenticationAlgorithm•VPN安全策略•NetscreenRemote客户端的设置Dial-upUser设定部分－设定用户的IKEID14课程目标课程目标•Site-to-SiteVPN配置基本流程•Site-to-SiteVPN配置图例及要点说明•Dial-UpVPN配置基本流程•Dial-UpVPN配置图例及要点说明15配置配置DialDial--upup用户用户•设置IKEID设定其它值会导致异常设定其它值会导致异常客户端也须配置两者须客户端也须配置两者须一致一致16配置配置IKEGatewayIKEGateway•IKEPhase1选择选择dialupuserdialupuser，并在对应下拉，并在对应下拉菜单选择我们刚才设定的用户。菜单选择我们刚才设定的用户。设置共享密钥，客户端也须设置共享密钥，客户端也须设置相同的值（最少设置相同的值（最少88位）位）17配置配置IKEGatewayIKEGateway高级选项高级选项•IKEPhase1注意注意dialdial--upVPNupVPN使用使用AggressiveAggressive模式模式如果如果VPNVPN连接中有连接中有NATNAT存在，存在，请勾选此项，开启穿透功能；请勾选此项，开启穿透功能；并做并做UDPChecksumUDPChecksum检查检查18配置配置IKEVPNIKEVPN•IKEPhase2在下拉菜单选取前面在下拉菜单选取前面定义的定义的IKEGatewayIKEGateway19配置配置IKEVPNIKEVPN高级选项高级选项•IKEPhase2VPNsAutoKeyIKEEdit(Advanced)20配置地址对象配置地址对象•地址对象是通过VPN隧道进行访问的企业网内部子网地址1.1.2.88Untrust1.1.2.3HOMEOFFICECORPOFFICE172.16.0.0/16SSG521配置配置VPNVPN安全策略安全策略源地址要选择源地址要选择DialDial--UpVPNUpVPN；目；目的地址即为我们前面创建的内网的地址即为我们前面创建的内网地址对象。地址对象。选取安全隧道选取安全隧道选取前面设定的选取前面设定的IKEVPNIKEVPN22NetscreenRemoteNetscreenRemote远程客户端的配置远程客户端的配置0101新建一个连接，新建一个连接，取名后，点中它取名后，点中它，出现右方基本，出现右方基本配置界面。配置界面。在该选项中输入我们的在该选项中输入我们的目标地址，即安全网关目标地址，即安全网关后面的内部子网后面的内部子网//主机的主机的地址。地址。选中该选项，并在选中该选项，并在IDID中中选取选取IPAddressIPAddress，输入安，输入安全网关的外网口地址。全网关的外网口地址。23NetscreenRemoteNetscreenRemote远程客户端的配置远程客户端的配置0202点击新建连接的点击新建连接的加号键，点中加号键，点中MyMyIdentityIdentity进行设置进行设置在在SelectSelect中选择中选择NoneNone；；在在PrePre--SharedKeySharedKey中输中输入与前面安全网关入与前面安全网关GatewayGateway配置中一致的配置中一致的值。值。在在IDID选项中选择选项中选择EE--mailmailAddressAddress，然后输入与前，然后输入与前面安全网关面安全网关DialDial--upup用户用户配置中一致的值。配置中一致的值。24NetscreenRemoteNetscreenRemote远程客户端的配置远程客户端的配置0303选中选中SecuritySecurityPolicyPolicy进行设置。进行设置。在在SelectPhase1SelectPhase1NegotiationModeNegotiationMode中选中选择择AggressiveModeAggressiveMode。。根据前面在安全网关中根据前面在安全网关中IKEIKEVPNVPN中中Phase2ProposalPhase2Proposal选选择的不同，选择是否使用择的不同，选择是否使用PFSPFS。。25NetscreenRemoteNetscreenRemote远程客户端的配置远程客户端的配置0404选中选中Proposal1,Proposal1,进行进行Phase1Phase1的设的设置。置。根据前面在安全网关中根据前面在安全网关中IKEIKEGatewayGateway中中PhasePhase1Proposal1Proposal的选择，选择一的选择，选择一致的选项。致的选项。26NetscreenRemoteNetscreenRemote远程客户端的配置远程客户端的配置0505选中选中Proposal2,Proposal2,进行进行Phase2Phase2的设的设置。置。根据前面在安全网关中根据前面在安全网关中IKEIKEVPNVPN中中Phase2ProposalPhase2Proposal的的选择，选择一致的选项。选择，选择一致的选项。27NetscreenRemoteNetscreenRemote远程客户端的配置远程客户端的配置0606完成配置后，进行完成配置后，进行连接测试。经过一连接测试。经过一个包的丢失，连接个包的丢失，连接成功建立。成功建立。图标从蓝色图标从蓝色logologo变为蓝色变为蓝色logologo加加上黄色的钥匙。上黄色的钥匙。