《中低防火墙配置.doc》由会员分享,可在线阅读,更多相关《中低防火墙配置.doc(43页珍藏版)》请在三一办公上搜索。
1、Juniper网络安全防火墙设备(中、低端设备)快速安装手册联强国际中国(贸易)有限公司2007-4-15目录前言3一、防火墙部署模式说明41.1、NAT模式41.2、route模式41.3、透明模式51.4、基于向导方式的NAT/ROUTE模式的配置61.5、基于非向导的NAT和路由方式的配置131.6、基于非向导的透明模式的实现15二、几种常用的功能的应用说明162.1、MIP的应用162.2、VIP的应用192.3、DIP的应用20三、VPN的应用说明233.1、基于策略的静态对静态对等端的VPN应用233.2、基于策略的动态对静态对等端的VPN应用29四、Juniper防火墙设备的HA
2、应用的实现344.1、基于主备方式的HA应用的说明354.2、基于主主方式的HA应用的说明38第五部分、设备选型385.1、防火墙配置文件的备份和恢复385.2、防火墙设备OS软件的更新395.3、防火墙设备如何恢复出厂40第六部分、Juniper网络安全设备的一些概念40 前言Juniper网络安全防火墙设备是一款专业的网络安全设备,可以支持各种复杂的网络环境的网络安全的应用需求。但是,因为部署模式的多样性,以及功能的多样性导致这款网络安全防火墙设备在实际部署的过程中的复杂性。我们制作本安装手册的目的就是使一些初次接触网络安全防火墙的工程技术人员,也可以通过此安装手册,完成一些基本的防火墙功
3、能的实现和应用。防火墙设备的配置思路:(了解了客户的应用需求之后)1、确认防火墙的部署模式;三种模式:NAT/ROUTE/透明模式。2、设置防火墙的端口地址或管理地址,配置默认路由。3、配置访问控制策略,完成基本配置。其它配置:1、基于端口和基于地址的映射2、基于策略的VPN配置3、修改防火墙设备默认的用户名密码以及管理端口Juniper防火墙设备的基本信息:Juniper防火墙设备的管理方式可以通过命令行的方式,也可以通过WEB的方式,通过WEB方式的管理需要浏览器的支持,推荐使用IE的浏览器进行登录管理。Juniper防火墙设备的默认端口IP地址为:192.168.1.1,子网掩码为:24
4、位,即:255.255.255.0。这个IP地址通常在防火墙设备的内网端口上,或者在防火墙设备的eth1Juniper防火墙设备的默认的超级用户的用户名:netscreen(小写),密码为:netscreen(小写)。Juniper防火墙设备的常用功能:在一般情况下,防火墙设备的常用功能包括:透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、一般VPN的应用(策略VPN)。本文对以上的功能实现进行说明。一、防火墙部署模式的说明:Juniper防火墙设备在实际的部署过程中主要有三种模式可以选择,这三种模式分别是:基于TCP/IP协议三层的NAT模式和
5、路由模式,以及基于二层协议的透明模式。1.1、NAT模式:入口接口处于“网络地址转换 (NAT)”模式下时,安全设备的作用与第 3 层交换机( 或路由器) 相似,将通往 Untrust 区段的外向 IP 封包包头中的两个组件进行转换:其源 IP 地址和源端口号。安全设备用 Untrust 区段接口的 IP 地址替换始发端主机的源 IP 地址。另外,它用另一个由安全设备生成的任意端口号替换源端口号。NAT模式应用的环境特征:1、 注册IP地址(公网IP地址)的数量不足。2、 内网有多个网段,有大量的非注册IP地址(私网IP地址)。3、 内部网络中有需要外显并对外提供服务的服务器。1.2、ROUT
6、E模式:接口为路由模式时,安全设备在不同区段间转发信息流时不执行源 NAT (NAT-src) ;即,当信息流穿过安全设备时,IP 封包包头中的源地址和端口号保持不变。与NAT-src 不同,目的地区段接口为路由模式时,不需要为了允许入站信息流到达主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址。与透明模式不同,每个区段内的接口都在不同的子网中。1、 注册IP(公网的IP地址)的数量较多2、 非注册IP地址(内网IP地址)的机数量与注册IP地址(公网IP地址)的数量相当或略少(或者完全是内网应用)1.3、透明模式:接口处于“透明”模式时,安全设备将过滤通过防火墙的封包,而不会修
7、改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而安全设备的作用更像是第2 层交换机或桥接器。在“透明”模式下,接口的 IP地址被设置为 0.0.0.0,使得安全设备对于用户来说是透明 ( 不可见) 的。透明模式是一种保护 Web 服务器,或者主要从不可信源接收信息流的其它任意类型服务器的方便手段。使用透明模式有以下优点:不需要重新配置路由器或受保护服务器的 IP 地址设置不需要为到达受保护服务器的内向信息流创建映射或虚拟 IP 地址要求在防火墙的部署过程中,保证防火墙设备的系统资源的消耗最低。1.
8、4、基于向导方式的NAT/ROUTE模式的配置从上述概念上来分析,NAT和路由模式的区别仅仅是在通过防火墙之后的数据包的包头地址是否发生变化;如果发生了,就是NAT模式;如果没有发生,就是路由模式。NAT和路由模式可以在防火墙设备的出厂启动后的配置向导中完成。要启动配置向导,则必须保证防火墙设备处于出厂状态,如新的从未被调试过的设备或经过命令行恢复为出厂状态的网络安全防火墙设备。在登陆处于出厂状态的防火墙设备时,防火墙设备的默认管理IP地址在网络的内口(Trust口,NS5GT)或ETH1(NS-25NS-208)上,默认IP为:192.168.1.1,默认用户名和密码相同,都是:netscr
9、een。在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。网络拓扑图如下:防火墙设备部署在网络的网关位置,内网IP地址为192.168.1.0所在的网段,子网掩码为:255.255.255.0,内网计算机的网关地址为:192.168.1.1(刚好与防火墙的内网端口地址相同);外网互联IP地址即公网地址为:10.10.10.1子网掩码为:255.255.255.0,网关地址为:10.10.10.251(假设10.10.10.0所在的网段为公网地址)。要求:实现内部访问互联网的应用。在进行防火墙设备配置前,要正确连接防火墙设备的物理链路,调
10、试用的计算机连接防火墙的内网端口,NS-5GT是连接Trust端口,NS-25以上的设备是连接eth1或eth1/1。通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)登陆防火墙的默认IP地址(建议:保持登陆防火墙的计算机与防火墙设备在相同网段,并直接连接)。登录该IP之后,出现安装向导:对于已经了解了Juniper网络安全防火墙设备的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面。对于初次部署Junip
11、er防火墙设备的工程师,则建议保持上述页面不动,直接选择:Next,弹出下面的界面:“欢迎使用配置向导”,再选择Next。进入登录用户名和密码的修改页面,Juniper防火墙设备的用户名和密码的名称是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置。一旦设置错误,导致登录密码不正确,则恢复密码的方式比较复杂。 在完成密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式;选择:Enable NAT则防火墙设备工作在NAT模式(参考NAT解释说明),不选择:Enable
12、 NAT则防火墙工作在路由模式(参考路由模式的解释说明)。 对于NS-5GT防火墙设备来所,因为其作为低端设备,端口的实际配置不可能那么多,因此,它的端口数量虽然有五个,但是,仅仅是一个广域网接口和四个局域网接口(四个局域网接口属于交换关系,所以,逻辑上可以看作是一个局域网端口)。为了能够提高低端产品的应用性,因此,在NS-5GT的OS中,独立开发了几种不同的模式,用于不同的环境。通常情况下,选择第一个选项:Trust-Untrust Mode模式。NS-5GT的设备也可以通过追加采购的授权获得更多的性能提升或模式选择,在这里不做主要考虑。这种模式是应用最多的模式,防火墙设备可以被看作是只有一
13、进一出的部署模式。NS-5GT在该页面下的几种部署模式均是基于TCP/IP三层模式的。完成了模式选择,则需要确定防火墙设备的接口IP地址,首先是广域网接口的IP地址,通常情况下,有一下三种模式获得广域网接口的IP地址,下面的三个选项分别是:从一个DHCP服务器动态获得IP地址在Untrust ZONE上面;应用一个PPPOE的拨号程序在防火墙设备的广域网端口上,通过拨号动态获得一个注册IP地址;设置一个确定的静态IP地址到防火墙设备的外端口上,并配置子网掩码和网关IP地址。在这里,我们选择的是使用静态IP地址的方式,配置外端口IP地址为:10.10.10.1,配置子网掩码为:255.255.2
14、55.0,配置防火墙设备的网关地址为:10.10.10.251。完成广域网端口的IP地址配置之后,下一步是配置防火墙的局域网接口,因为我们的部署环境是,内部IP地址刚好与防火墙的内网口IP地址在相同的网段,同时,内部网络的规划网关的IP地址也刚好和防火墙的内网口的IP地址相同,由此,我们可以使用默认的配置就可以了;如果,内部IP地址与防火墙的默认IP地址不同,则需要输入不同的IP地址并下一步就可以完成内网口IP地址的变更。 在完成了上述的配置之后,基本上就完成了防火墙设备的一般配置了。下面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地
15、址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将WWW.SINA.COM.CN解析为IP地址:202.108.33.32。如果计算机不能获得或设置DNS服务器地址,基本上无法访问互联网。 DHCP功能是防火墙设备的一个附加功能,在不开启该功能的情况下,需要在计算机的网卡配置中,指定静态IP地址和网关,并且,指定DNS服务器地址。完成上述配置之后,就进入到了配置确认并完成的界面,在该界面中,点选:Finish之后,该WEB页面会被关闭,则配置完成,防
16、火墙对来自内网到外网的访问地动启用基于端口地址的NAT,同时,防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略,策略内容为:策略方向由Trust到Untrust,原地址:ANY,目标地址:ANY,网络服务内容:ANY。策略作用,允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。重新开启一个IE界面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。输入正确的用户名和密码,登陆到防火墙之后,可以对防火墙设备的现有配置进行修改。上述就是通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。1.5、
17、基于非向导的NAT和路由方式的配置基于非向导方式的NAT和路由模式的配置建议首先由命令行开始,最好通过控制台的方式连接防火墙,防火墙设备提供了一个控制口,用于本地的命令行管理,这个管理方式不受接口IP地址的影响。在默认的情况下,防火墙设备的信任域所在的端口是工作在NAT模式的,其它安全域所在的端口是工作在路由模式的。基于命令行方式的防火墙设备部署的命令配置如下:(网络环境同上)NAT模式:(NS5GT)因为NS5GT设备的物理接口名称也叫做trust和untrust,接口名称与ZONE的名称相同,所以,容易造成混乱。Unset interface trust ip (清除防火墙内网端口的IP地
18、址;基于三层的模式应用下,这条命令很少使用,一般可以直接对端口的IP地址进行修改,使用这个命令的原因更多是为了变更防火墙的应用模式到透明模式时使用)Set interface trust zone trust(定制内网端口trust的zone为trust)Set interface trust ip 192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之后再定义IP地址)Set interface untrust zone untrust(设置外网口untrust的zone为:untrust)Set interface untrust ip 10.10.10.1/24(设
19、置外网口的IP地址)Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙设备的默认的路由网关地址)Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略,策略的方向是:由zone trust 到 zone untrust 源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录)Save (保存上述的配置文件)NAT模式:(NS25-208)Unset interface ethe
20、rnet1 ip(清除内网口默认IP地址)Set interface ethernet1 zone trust(定义ethernet1端口的zone为:trust)Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址)Set interface ethernet3 zone untrust(定义ethernet3口的zone为:unust)Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址)Set route 0.0.0.0/0 interface ether
21、net3 gateway 10.10.10.251(定义防火墙设备的默认路由网关)Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略)Save (保存上述的配置文件)上述是在命令行的方式上实现的NAT模式的配置,因为防火墙设备默认的在内网端口上启用NAT,所以,一般不用特别设置,但是,其它的端口则工作在路由的模式下,尤其是安全区为:DMZ和untrust的接口,一般情况下,不需要修改端口的路由或NAT的模式,如果需要修改,则可以按照如下的命令行进行修改。Set interface ethernet2 N
22、AT (设置端口2为NAT模式)Save1.6、基于非向导的透明模式的实现:此实现方式依然建议采用命令行的方式实现,因为采用WEB的方式实现时相对命令行的方式,比较麻烦。通过控制台连接防火墙的控制口,登陆命令行管理界面,登陆防火墙设备之后,输入如下命令进行二层透明模式的配置。建议在修改部署模式时,将防火墙设备恢复为出厂配置。Unset all提示:是否删除当前配置,输入:y断电重新启动,防火墙设备启动完成后,即恢复为出厂配置了。出厂配置,防火墙设备工作在三层模式,并且,防火墙设备的第一个物理接口或内网接口上配置有IP地址:192.168.1.1,下面是命令行方式的调试过程:在控制台下输入:Un
23、set interface ethernet1 ip将以太网1接口上的默认IP地址删除Set interface ethernet1 zone v1-trust设置以太网1接口的安全域为:v1-trust(此为基于二层的安全域,端口设置为该安全域后,则端口工作在二层模式,并且,不能在端口上配置IP地址)Set interface ethernet2 zone v1-dmz设置以太网2接口的安全域为:v1-dmzSet interface ethernet3 zone v1-untrust设置以太网3接口的安全域为:v1-untrustSet interface vlan1 ip 192.168
24、.1.1/24设置VLAN1接口的IP地址为:192.168.1.1,子网掩码为:24位Set policy from v1-trust to v1-untrust any any any permit log设置一条由内网到外网的访问策略。Save保存当前的配置说明:带有V1-字样的安全域为基于透明模式的安全域,在进行透明模式的应用时,至少要保证两个端口的安全域工作在二层模式;虽然Juniper防火墙可以工作在混合模式下(二层模式和三层模式的混合应用),但是,通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由)二、几种常用的功能的应用说明:MIP、VIP、DIP应用
25、全部是基于三层的部署模式实现的。2.1、MIP的应用:MIP是一对一的地址映射,通常的情况是:有若干个公网IP地址,又存在若干的对外提供网络服务的服务器,服务器使用私有IP地址,为了实现互联网用户访问服务器的目的,实现公网IP地址与服务器私有IP地址之间的一对一的映射关系,并通过访问控制策略实现互联网对内网的服务器所提供服务的访问控制。MIP应用的网络拓扑图:MIP的实现位置为防火墙设备的互联网端口,具体的实现方式如下:1、首先,登陆防火墙设备。在浏览器的地址栏中输入防火墙设备的管理IP地址,输入用户名密码,登陆防火墙设备。2、配置防火墙设备为三层的部署模式(NAT或路由模式)参考:NAT和路
26、由模式的配置说明。3、找到MIP的设置位置:Network=Interface=ethernet3=MIP4、配置实现MIP的地址映射,添加MIP地址:公网IP地址,添加host地址:内网服务器IP地址,保存。完成公网IP地址和内部服务器私有IP地址之间的映射关系。5、在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器的应用的访问。MIP应用的命令行实现方式:CLI1. 接口set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1
27、 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/242. MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr3. 策略set policy from untrust to trust any mip(1.1.1.5) http permitsave2.2、VIP的应用:VIP的应用与MIP的应用有相似之处,不同之处在于,MIP是一个公网IP地址对应一个私有IP
28、地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个拥有私有IP地址的服务器,并且,这些服务器是需要对外提供服务的,且,这些服务器的服务端口不同。VIP应用的拓扑图:VIP的应用实现,也是在防火墙设备的对外端口上,具体配置如下:1、登陆网络安全防火墙,配置防火墙为三层部署模式,同MIP的相关配置。2、添加一个用于VIP应用的公网IP地址:Network=Interface=ethernet3=VIP3、添加与该VIP公网地址之间的基于端口的映射关系:4、添加
29、与该VIP公网地址相关的访问控制策略。VIP的命令行配置:CLI1. 接口set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet2 ip 1.1.1.1/242. VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.103. 策略set policy from untrust to
30、 trust any vip(1.1.1.10) http permitsave 完成配置,之后,来在互联网的访问就可以正常访问内部服务器所提供的网络服务了。VIP的地址可以利用防火墙设备的外端口地址实现(限于低端设备)。2.3、DIP的应用:DIP的应用一般是在内网对外网的访问方面,通常情况下,在三层的部署模式下,来自内网对互联网的访问会自动转换为防火墙设备的外端口IP地址,并实现对互联网的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部IP地址外出访问互联网时,动态转换为一个连续的公网IP地址池中的IP地址。DIP应用的网络拓扑图:具体实现的方式如下:登陆防火墙设备,
31、配置实现三层部署模式,同MIP的应用。1、在完成防火墙的接口IP地址的配置和外出路由的配置之后,找到DIP地址池的定义位置:Network=Interface=ethernet3=DIP,一般为定义了公网IP地址的untrust接口,定义IP地址池:2、在策略(Policy)中,定义由内到外的访问策略,在策略的高级(ADV)部分,NAT的相关内容中,启用原地址NAT,并在下拉菜单中选择刚刚定义好的DIP的地址池,保存策略,完成配置。之后,拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。DIP应用的命令行方式的实现方式:1. 接口set interfac
32、e ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/242. DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.303. 策略set policy from trust to untrust any any http nat src dip-id 5 permitsave三、VPN的应用说
33、明:Juniper的网络安全防火墙设备的VPN应用模式较多,由:基于策略的VPN、基于路由的VPN,集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:策略VPN。我们介绍两种策略VPN,一种是静态对静态的VPN应用,以及,动态对静态的VPN应用。3.1、静态对静态的VPN应用:静态对静态的VPN应用中,位于两地的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同。静态对静态的VPN的拓扑图:登陆防火墙设备,配置防火墙设备为三层部署模式。配置VPN第一阶段的相关配置:配置VPN gateway部分,定义VPN网关名称、定义对端V
34、PN设备的公网IP地址为本地VPN设备的网关地址、定义预共享密钥、选择发起VPN服务的物理端口。在VPN gateway的高级部分,定义相关的VPN隧道协商的加密算法、选择VPN的发起模式。VPN阶段一列表配置VPN第二阶段的相关配置:在AUTOKEY IKE部分,选择,第一阶段的VPN配置。在高级部分,选择VPN的加密算法,完成。 VPN阶段2配置列表定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式,VPN隧道选择为:刚刚定义的隧道,选择是否设置为双向策略。带有VPN策略的策略列表基于策略的静态对静态的VPN应用的命令行配置:CLI ( 东京)1. 接口set interface
35、 ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/242. 地址set address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/243. VPN预共享密钥set ike gateway to_paris address 2.2.2.2 m
36、ain outgoing-interface ethernet3preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible4. 路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.2505. 策略set policy top name To/From Paris from trust to untrust Trust_LAN paris_officeany t
37、unnel vpn tokyo_parisset policy top name To/From Paris from untrust to trust paris_office Trust_LANany tunnel vpn tokyo_parissaveCLI ( 巴黎)1. 接口set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet
38、3 ip 2.2.2.2/242. 地址set address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/243. VPN预共享密钥set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible4. 路由set vr
39、outer trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2505. 策略set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_officeany tunnel vpn paris_tokyoset policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave3.2、基于策略的动态对静态的
40、VPN连接的说明动态对静态的VPN应用中,拥有静态公网IP地址的一段作为被访问端出现,拥有动态公网IP地址的一端作为VPN隧道协商的发起端。与静态对静态的VPN应用相比,配置的不同之处在于VPN第一阶段的相关配置,在主动发起端,需要指定VPN网关地址,并通过一个本地ID,配置VPN发起模式为:主动模式。在静态被动端,需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同。动态对静态的VPN的拓扑图:VPN第一阶段的配置:因为是动态地址端,所以,VPN的发起必须由本端开始,动态地址端可以确定对端的VPN设备的固定IP地址,因此,在VPN阶段一的配置中,可以指定对端VPN设备
41、的静态IP地址。同时,在本端设置一个Local ID,提供给对端作为识别信息使用。在VPN阶段一的高级配置中也与静态地址端有所不同,不同之处在于VPN发起的模式。在两端都是静态地址的情况下,两端发起VPN的模式都是主模式(Main),而在一端是动态IP地址的情况下,则VPN的发起模式为:主动模式(Aggressive)注意:在拥有固定公网IP地址的VPN设备一端,在VPN阶段一的配置中,需要按照如图所示的配置:因为不知道对方的固定IP地址,所以,需要将对端(动态地址端)配置的Local ID,配置到本地的PEER ID位置。VPN第二阶段、以及VPN策略与静态对静态的VPN对应配置相同。VPN
42、的访问控制策略!基本与静态发起方式相同。命令行方式实现的过程:CLI ( 设备-A)1. 接口set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.1.52. 用户set user pmason pas
43、sword Nd4syst43. 地址set address trust trusted network 10.1.1.0/24set address untrust mail server 3.3.3.5/324. 服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service rem
44、ote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop35. VPN预共享密钥set ike gateway to_mail address 2.2.2.2 aggressive local-id pmasonoutgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_c
45、orp gateway to_mail sec-level compatible6. 路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet37. 策略set policy top from trust to untrust trusted network mail server remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust mail server trusted network r
46、emote_mailtunnel vpn branch_corpsaveCLI ( 设备-B)1. 接口set interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/242. 地址set address dmz mail server 3.3.3.5/32set address untrust branch office 10.1.1.0/243. 服务set service i
47、dent protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop34. VPN预共享密钥set ike gateway to_branch dynamic pmason aggressiveoutgoing-interface ethernet3 preshare h1p8A