这篇文章只是Juniper NetScreen-5G的一些入门配置,就是能把这个东西配置起来,实现一个基于策略的站点到站点的×××,把一个公司与另一公司通过这个×××连起来。配置×××的目的主要是想让两个公司的邮件通过这个×××通信。

实验环境:

站点A:

(1) ISP提供的IP为:61.172.1.100/27

(2) 使用192.168.3.0/24为局域网网段,也是这个网段×××到另一站点B

站点B:

(1) ISP提供的IP为:61.172.1.200/27

(2) 使用192.168.5.0/24为局域网网段,也是这个网段×××到另一站点A

*:61.172.1.100/200是我随意写的,若真的有纯属巧合。

使用设备都为Juniper NetScreen-5G且工作模式是Trust-Untrust。(configuration>port mode)

clip_p_w_picpath002

1,基本配置

1.1设置公网IP,Network>Interfaces>untrust>Edit

clip_p_w_picpath004

如果想通过这个IP来管理该设备则把Manageable勾选,并在management services中选web UI,Telnet,SSH,SNMP,SSL方式之一进行管理该设备。为了安全一般不这样做。

1.2,设置trust的IP,局域网IP, Network>Interfaces>trust>Edit

clip_p_w_picpath006

这里最好设一个固定的IP,manageable勾选,management services里我都选中了,因为我想通过这个IP来管理这个设备。Other services里还选了一个ping ,当发生问题时我想ping 一下这个设置,看看它有没有down掉。

1.3,设置它为局域网内提供DHCP服务,Network>DHCP>trust>Edit

clip_p_w_picpath008

设置DHCP的作用范围:Network>DHCP>trust>Edit>Addresses

clip_p_w_picpath010

1.4,设置DNS,Network>DHCP>trust>Edit> Advanced Options

clip_p_w_picpath012

1.5,配置网关,Network>Routing>Destination>选trust-vr,>new

clip_p_w_picpath014

在IP Address/netmask写0.0.0.0/0就可以,其实就是添加了一个静态路由,Network>Routing>Destination,如下图

clip_p_w_picpath016

1.6,配置策略,Policies>new

clip_p_w_picpath018

接着做如下设置

clip_p_w_picpath020

在source Address 里选ANY,表示与trust口在同一网段并以此trust口的IP为网关的计算机都可以访问到Destination Address设置的IP,service的服务(FTP,MAIL,DNS,MSN),Action选permit。这条策略如果没有则要添加,若有就不用设置了。

完成以上的配置后,局域网内192.168.3.0通过这个设备就可以上网了。如果设备是新的,则可以通过向导完成以上设置。

2,端口映射,也叫开端口。

2.1把SMTP服务,POP3或IMAP映射到网内的MAIL服务器192.168.3.10

NetWork>Interfaces>untrust>Edit>VIP>New VIP Service

clip_p_w_picpath022

以上服务都是默认的端口,如果在实际应用时,更改常用服务的端口,那就要做相应的改动。比如把http的80更改为8080,那么就要做VIP时,Virtual Port那地方更改为8080。

2.2,创建一个新服务,端口为6000-8000

Objects>Services>Custom>New

clip_p_w_picpath024

NetWork>Interfaces>untrust>Edit>VIP>New VIP Service

clip_p_w_picpath026

2.3,创建一个服务组g-vip,把SMTP,POP3,IMAP,s-test放到这个组里

Objects>services>groups

clip_p_w_picpath028

完成2.1及2.2的操作后,不要忘了做策略,否则是无效的。

Policies

clip_p_w_picpath030

接着做以下设置

clip_p_w_picpath032

设置以上策略,就是只允许外网访问内网的SMTP,POP3,IMAP及自定义的服务s-test(开放的6000-8000端口)

完成以上设置后,通过NetWork>Interfaces>untrust>Edit就可以看到以下内容:

clip_p_w_picpath034

到此就可以看到画红线的两条策略:

clip_p_w_picpath036

到这一步后,Juniper NetScreen-5GT基本功能就完成了。

基于策略的站点到站点的×××,自动密钥IKE

3,配置一个站点到站点的×××,在这配置一个简单的基于策略的站点到站点的×××,自动密钥IKE使用共享机密。

3.1,×××S>Autokey Advanced> Gateway>new

clip_p_w_picpath038

如果Security Level 选择了Custom,则在上图中再选择advanced,进阶设置安全

clip_p_w_picpath040

两端要设置相同的配置。

3.2,×××S>Autokey IKE>New

clip_p_w_picpath042

选Advanced进一步设置security level,因为我选了custom

clip_p_w_picpath044

3.3,最后一定要记住做策略

在做策略前,我们先创建两个Address Book,就相当于给局域网内要进行×××的网段起个名字;另一站点要进行×××的网段起个名字,这样做的目的是要给×××的网段范围进行划分。

Objects>Addresses>New

clip_p_w_picpath046

Objects>Addresses>New

clip_p_w_picpath048

Policies

clip_p_w_picpath050

到此为止,我们所做策略就4条:

clip_p_w_picpath052

一定要注意的是策略是有顺序的,比如把ID为3的那条与ID为1的那条策略的上下顺序调整一下,你就会发现配置的×××没有达到目的,就是当你ping 192.168.5.2时发现不通。就因为当时我没注意到这点,×××总是不通郁闷了好几天,配置过程没有错误,可就是不通。

结束语:

Juniper NetScreen-5GT设备功能很强,这里只是一些基础配置,要想详细学习就要认真阅读NetScreen中文指南。因本人水平有限,对Juniper NetScreen-5GT的“内功心法”理解不深,所以也只能在这里说说它的招式。若有错误,请指正。

文章转自http://xuchengji.blog.51cto.com/160472/419954