当前位置:首页 >> 计算机硬件及网络 >>

Juniper


【Juniper SSG5 三十天快速上手】 SSG5 三十天就上手-Day 1 SSG5 是什么? 要学 SSG5 之前,当然是要先知道什么是 SSG5,本篇文章,会先对 SSG5 作简单 的介绍让大家知道 SSG5 是什么? 它有哪些功能? 以及如何运用它? Juniper Networks SSG5 安全服务网关器是专用型安全设备,将高效能、安全防 护、路由,以及 LAN/

WAN 连结完美地结合在一起,以有效保护小型分支机构、 远程居家工作者,与小型企业网络。利用完整的统一威胁管理功能,包括状态式 防火墙、IPsec VPN、IPS、防毒 ( 包括防间谍软件、防钓鱼攻击、防广告软件)、 防垃圾邮件,以及 Web 过滤,以阻挡蠕虫、间谍软件、木马、恶意软件,及其 它新发现的攻击。

SSG5 基本规格如下: 已测试之 ScreenOS 版本: ScreenOS 6.2 防火墙效能 (大型封包): 160 Mbps 防火墙效能 (IMIX)(3): 90 Mbps 每秒防火墙封包 (64 byte): 30,000 PPS AES256+SHA-1 VPN 效能: 40 Mbps 3DES+SHA-1 VPN 效能: 40 Mbps 同时联机数: 8,000 每秒新联机数: 2,800 最大政策数: 200 最大用户数: 无限制 网络连结: 固定 I/O 7x 10/100

企业用途; 一般 IT 最常头痛的莫过于对于外点的支持, 有了 SSG5 让你的外点可以架构简 单又不失安全性外加好支持。让 SSG5 替代你外点的 gate,让它帮你解决外点 routing 问题。 另外如果你没有前拉专线,只有要有一条对外线路给 SSG5,它可以轻轻松松帮 你建立 site to site 的 VPN。 参考数据:http://www.juniper.net/ SSG5 三十天就上手-Day 2 SSG5 如何还原到出厂设定值。 让你的 SSG5 从头开始吧! 不论你是接手前人的设备还是旧设备,或是忘记密码甚至是前辈没有给你密码。 最夸张还有前人被炒鱿鱼不肯交出密码,都不用担心害怕,本篇教您如何还原到 出厂的默认值。还原 SSG5 有两个方法。方法一:Hardware s 在 SSG5 的后面有 一个 Reset 的针孔, 当然如果今天只是要跟你说用针插一下这个孔,那我就略掉 了。当然它绝对不是您所想得这么简单,要用 Hardware Reset,您需要对该针 孔插两次针,且不是随便插,您必须配合它的灯号,第一次差大约 4 秒不动,然 后灯号变成一红一绿,在将针拔出然后间隔约 1 秒之后,再将针插入约 4 秒,如 此才能完成 Reset 动作。方法二:Console Reset:这就简单多了,您需要可以 连到 SSG5 的 Console 线,它是一头为 Com port 一头为 RJ45,跟 Cisco Switch 用的线一样。 将线连接到 SSG5 的 Console port 后, 使用超级终端机联机到 SSG5, 然后账号密码都输入 SSG5 背后贴纸的序号。接着按下两次 Y,如此您就可以还 原到原厂设定值。还原后的 SSG5 预设帐密为 netscreen,如此您就可以开始享 用您的 SSG5 咯! SSG5 三十天就上手-Day 3 SSG5 如何进行备份与还原。 本篇让您快速 Backup 与 Restore 一般如果有两台 SSG5 要互相替换,当然最佳的方法是做 HA ,可惜在没有钱的 IT 界,一定是一台 SSG5 来当很多台的 Backup,此时如果在线的 SSG5 挂了,如 何让你 Backup 的 SSG5,可以快速还原并上线就非常重要! 第一、平时要对你在线的 SSG5 进行 Config 的 Backup,请登入您 SSG5 的 Web 接口,在左边的选单中,进入 <Configuration> --> <Update>

然后在右边画面中,点选 <Save To File> 如此就能 Backup 您的 Configuration 第二、进行快速还原,请登入您 Backup 的 SSG5 的 Web 接口,在左边的选单中, 进入 <Configuration> --> <Update>,在右边画面中 Upload Configuration to Device 选择 Replace Current Configuration ,并按下<浏览> 挑选出第一步 骤中所备份出 file。 接着等待 SSG5 开完机您就可以上线! SSG5 三十天就上手-Day 4 SSG5 如何进行软件更新。 软件更新让您的 SSG5 始终如新 新版软件除了会帮您解掉一些旧版的 bug 之外,也会进行 function 的改进, 或者说增加一些新功能,因此对 SSG5 进行软件更新就变成您必备的技能。 下载软件 您可以拿您 SSG5 的续号,到 Juniper 的网页,注册一个账号,注册后您可以 download 新版 SSG5 的软件。 更新软件 准备好软件档案后,登入您的 SSG5 的 Web 接口,在左边的选单中,进入 <Configuration> --> <Update>--> <ScreenOS/Keys> , 在 右 边 画 面 中 选 择 Firmware Update (ScreenOS) ,并按下<浏览> 挑选出第一步骤中所备出 file。 接着就等 SSG5 更新完毕! SSG5 三十天就上手-Day 5 SSG5 Security Zones Security Zones-安全区设定 您可以透过 Security Zones 将您的 SSG5 切个为多个安全区域,在 SSG5 中预 设会有下列 Zones: Null Trust Untrust Self Global

HA MGT Untrust-Tun V1-Null V1-Trust V1-Untrust DMZ V1-DMZ VLAN 其中建议您最少要使用两个 Security Zones 将您的网络进行区隔。 在默认值中会将 ethernet0/0 放到 Untrust,ethernet0/1 放到 DMZ,其它放到 Trust。 假设您只有一条对外线路,建议您将该线路放到 ethernet0/0 (Untrust),内部 就放到 Trust。 然后再设定 SSG5 的 Policy 来保护内部网络。 SSG5 三十天就上手-Day 6 SSG5 Interface Interface 是 SSG5 中实际封包进出的出入口,经由 Interface 让封包来进出 security zone。 为了让网络封包能够进出 security zone,您必须将 bind 一个 interface 到该 security zone, 如果您要让两个 security zone 互通封包时,您就必须设定 policies (就像是 iptables)。 您可以把多个 Interface bind 到同一个 security zone,但是一个 Interface 只能被 bind 到一个 security zone, 也就是说 Interface 跟 security zone 是多对一的关系。 Interface Types 以下是 SSG5 的 Interface Types: Physical Interfaces 这就是您 SSG5 中的实体网络 port ,您可以对照 SSG5 机体上的编号:eth0/0 ~

eth0/6 共有七个网络 port Bridge Group Interfaces Subinterfaces Aggregate Interfaces Redundant Interfaces Security?Virtual Interfaces SSG5 三十天就上手-Day 7 SSG5 Interface Modes 在 SSG5 Interface 可以以下列种方式运作: Transparent Mode NAT(Network Address Translation) Mode Route Mode Interface 被 bind 在 Layer 3 且有设定 IP 时可以选择使用 NAT 或 Route 方式运作。 Interface 被 bind 在 Layer 2 的 Zone 时,Interface 需以 Transparent 方式 运作。 Transparent Mode: 当 Interface 在此模式时, IP address 会设定为 0.0.0.0,此时 SSG5 不会对 于封包中的 source 或 destination 信息做任何的修改。SSG5 此时就像扮演 Layer 2 switch 或 bridge。 NAT Mode: 此时您的 SSG5 就像扮演 Layer 3 Switch 或是 Router,会对封包进行转译 (translates),他会换掉流向 Untrust zone 封包的 Source IP 跟 Port。 Route Mode: 当 SSG5 的 Interface 在此模式时,他不会对于两个不同 zone 之间的封包做 Source NAT。 SSG5 三十天就上手-Day 8 SSG5 Policies Policies 您可以将他想成 iptables 在 SSG5 中, 预设会将跨 security zone 的封包(interzone traffic) deny , bind

在同一个 zone 的 interface 的封包(intrazone traffic)预设为 allow 如果您需要对以上预设行为进行调整,那您就必须透过 Policies 来进行。 Policies 由下列基本元素所组成: Direction:这是指封包的流向从 source zone 流向 destination zone Source Address: 这是封包起始的地址 Destination Address:这是封包要送到的地址 Service:这是封包的服务种类,如 DNS、http 等等 Action :这是当收到封包满足此 Polices 时要进行的动作。 举例来说:假设您要设定任何地址都可以由 Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server,则您的基本 policies 元素如下: Direction: 从 Trust 到 Untrust Source Address: any Destination Address: 10.0.0.1 Service: ftp (File Transfer Protocol) Action: permit Three Types of Policies 您可以透过下列三种型态的 Policies 来控制您的封包: Interzone Policies—控制一般 Zone 与 zone 之间的封包。 Intrazone Policies—控制同一 Zone 之间的封包 Global Policies—套用到所有 zone SSG5 三十天就上手-Day 9 SSG5 Domain Name System Support Domain Name System (DNS) 让您使用 domain name 找到 IP SSG5 也支持 Domain Name System (DNS),让您可以透过 DNS Name 来找到 IP Address。 在您要使用 DNS 之前,您需要先在您的 SSG5 上设定 DNS Server。 假设您的 DNS Server 的 IP 为 192.168.1.2 跟 192.168.1.3 , 并且您要将 DNS 设定为每天晚上 11 点 refresh。 请登入您 SSG5 的 web 管理接口,点选左边的 "Network" ==>"DNS" ==>"Host" 然后在右边的页面中,输入下列之信息:

Primary DNS Server: 192.168.1.2 Secondary DNS Server: 192.168.1.3 DNS Refresh: (请勾选) 并手动在 Every Day at:字段上输入 23:00 然后按下 Apply ,这样您 SSG5 的 DNS 就设定完成了。 SSG5 三十天就上手-Day 10 SSG5 DHCP Support 说明 SSG5 对 DHCP (Dynamic Host Configuration Protocol) 的支援 DHCP (Dynamic Host Configuration Protocol) 可以用来让网络中的计算机自 动取得 IP 设定。透过 DHCP 可以让系统管理员对网络中的计算机设定更容易。 SSG5 在 DHCP 中可以办演下列角色: DHCP Client:可以透过网络中的 DHCP Server 取得所配发的 IP 。 DHCP Server:可以在网络中配发 IP 给 DHCP Client。 DHCP Relay Agent:负责接收网络中的 DHCP Client 要求 IP 的封包,并转给 (relay)给指定的 DHCP Server, 必取得 Server 所配 IP 之讯后, 转回给 Client。 要 在 SSG5 中 设 定 DHCP , 请 登 入 SSG5 的 web 管 理 接 口 , 点 选 左 边 的 "Network" ==>"DHCP" 然后在右边的页面中,选择要设定的 Interface ,点选 Configure 字段中的 edit。 如此就可以设定 DHCP 相关信息。 当您的 Interface 为 Down 或 ip 设定为 0.0.0.0/0(就是没设 ip) ,您只能选 择 DHCP Client。 其它则您可以在上述中的三个角色三选一。 若选择 DHCP Relay Agent,接着设定 Relay Agent Server IP 或 Domain Name。 若选择 DHCP Server,接着设定 DHCP Server 其它相关设定: Server Mode->可选择 Auto (Probing)、Enable、Disable 一般会选择 Enable Lease ->预设为 Unlimited 接着 Gateway Netmask DNS WINS 等相关信息即可。 SSG5 三十天就上手-Day 11 SSG5 Setup PPPoE

PPPoE(Point-to-Point Protocol over Ethernet) 如果您的对外线路没有使用固定 IP 的线, 那大多您就会使用电信所提供的(大多 就是 ADSL)使用 PPPoE 拨接上网。 SSG5 对 PPPoE 的支持也没有问题,在 SSG5 的默认值中,通常会将 eth0/0 设 定在 Untrust 的 Zone ,并使用 eth0/0 来当做对外线路,所以这里也建议您 可以利用 eth0/0 来设定 PPPoE 的拨接。 Setting Up PPPoE 请登入 SSG5 的 web 管理接口,点选左边的 "Network"= > "Interfaces" ,然 后在右边的页面, eth0/0 点选"Edit", 对 进入编辑页面后, 点选"Obtain IP using PPPoE",并接着在选项后面有一个 Link (Create new pppoe setting ) 可以让 您点选并 Create 您的 PPPoE 的 Profile,或者您已经是前就先 Create 后,也 可以直接在选项后直接使用下拉选单挑选事先 Create 好的 PPPoE Porfile。 Create PPPoE Profile 请登入 SSG5 的 web 管理接口,点选左边的 "Network"= > "PPP" =>"PPPoE Profile" ,然后在右边的页面右上方,按下"New"的按钮,接着设定 PPPoE Instance (这是这个 Profile 的名子)、接着输入从 ISP 那边拿来的拨接用的 Username 跟 Password。 这样您的 SSG5 就可以使用 PPPoE 拨接上网了。 SSG5 三十天就上手-Day 12 SSG5 Setup Network Boot 让你的 SSG5 也可支持网络开机 当你的环境中,可以网络开机时候,您可以让 SSG5 也支持这样的设定。 一般如果你要让 network boot 可以正常 work ,您必须在您的 DHCP Server 中, 设定两个项目: 1.next-server :这个 IP 是 TFTP server 的 IP address 2.filenam: 这是 Bootfile 的 file name 这样 DHCP Client 如果设定使用网络开机的时候,他就知道拿完 IP 之后,要去 找哪一台 TFTP Server 来 download bootfile 进行开机。

在 SSG5 中,您在设定 DHCP 的时候,只要指定上述两个数值即可让您的 SSG5 支 持网络开机。设定方法如下: 请登入 SSG5 的 web 管理接口,点选左边的 "Network" ==>"DHCP" 然后在右边的页面中,选择要设定的 Interface ,点选 Configure 字段中的 edit。 请选择设定为 DHCP Server, 并设定 Next Server Ip , 这里选择 From Input 并输入 IP。 接着点选右下角的 Custom Options,进入 Custom Options 设定 页面。 再点选右上角的"New",在 code 输入 67,type 选择 string,value 中输入 bootfile 的 file name 。 这样就完成设定,接着您就可以测试看看。 ps:请注意,如果您的 Firmware Version: 6.3.0r4.0 (Firewall+VPN) ,会遇 到带出的 bootfile 的 filename 多了一个怪怪符号, 目前看来是这一版的 bug。 SSG5 三十天就上手-Day 13 SSG5 管理员帐号和密码 Defining Admin Users 前面讲了这么多 SSG5 的功能与如何设定,接下来要跟大家说明最基本的安全问 题,那就是您 SSG5 的管理员帐号和密码。 SSG5 的预设管理员帐号和密码为 netscreen/netscreen,您如果要修改可以透 过 console 接口进行修改,如果您手上没有 console 的线,您也可以透过下列 方式。 当您拿到一台新的 SSG5 或是将 SSG5 reset 到原厂设定值的时候,它预设会将 eth0/2~eth0/6 设定为一个 bgroup0, 并且会当 DHCP Server 配发 IP, bgroup0 该 的 IP 会设定为 192.168.1.1。 您可以将您的计算机连接到该 bgroup0 的 port,取得 IP 之后,透过 Telnet 进入 Console。 进入 Console 后, 先用预设帐号和密码登入。登入后先利用下列指令修改管理员 的帐号名称。

set admin name "管理员帐号" 接这 SSG5 会提示时已将密码设定为 netscreen,并建议您马上修改密码,再利 用下列指令修改管理员的密码。

set admin password "管理员密码" 这样就完成了修改管理员帐号和密码的工作。 SSG5 三十天就上手-Day 14 SSG5 变更管理 port SSG5 预设的 http 管理 web 接口是透过 80 port ,为了安全起见,如果您要对 您的 interface 启用 web 管理 web 接口的时,建议您要变更您的 port,以增加 安全性,可以避免伊些简单的攻击。 假 设 您的 interface ip 为 128.12.1.8 ,预设开启 web 管理时可以透过 http://128.12.1.8 来进行管理,如果您经 port 变更为 5522,则您管理接口则 须使预下列方式连接: http://128.12.1.8:5522 变更的方式如下: 请登入 SSG5 的 web 管 理 接 口 , 点 选 左 边 的 "Configuration"

==>"Admin"==>"Management", 然后在 HTTP Port 字段输入你的 port , 5522。 如 SSG5 三十天就上手-Day 15 SSG5 Event Log 让 log 告诉你发生了什么事 身为一个管理人员,有事没空也都必须去看一下 log,透过 SSG5 的 Event Log 可以让你知道你的 SSG5 发生了什么事情。 比如说管理者进行了组态变更,或是 SSG5 本身产的讯息或是 alarms 等等。 在 SSG5 将 Event Log 分为下列 Level: [Alert]: 这个讯息是需要马上被注意的,如防火墙遭到攻击。 [Critical]: 这 个 讯 息 是 有 可 能 会 影 响 运 作 或 是 功 能 , 如 HA(high

availability )状态改变。 [Error]: 这个讯息是 SSG5 发生错误且可能造成运作上或是功能上的错误, 如如 法连上 SSH Servers. [Warning]: 这个讯息是 SSG5 发生了会影响功能面的事件,如认证失败。 [Notification]: 这是发生一般正常的事件,给予管理这常态的通知,如管理人 员变更组态设定等。 [Debugging]: 这是提供详细的信息让您用来做 debug 用途。 您可以登入 SSG5 的 web 管理页面, 并在 "Reports" => "System Log" => "Event" 查看 SSG5 的 Event Log。 SSG5 三十天就上手-Day 16 SSG5 Sending Email Alerts 系统管理员看 log 是天命 身为一位 IT 的系统管理人员,每天看 Log 可以说是天命。 但是天天进系统看 Log 实在会累死人, 尤其是当您可以能会十几台 SSG5 的时候。 这个时候当然是要叫 SSG5 给天自动把 alarm 用 e-mail 寄给你! 设定的方法如下: 登入 SSG5 的 web 管理页面, 并进入 "Configuration" => "Report Settings" => "Email" ,在右边的页面,您就可以设定下列信息: 1.SMTP Server Name 2.E-mail Address 1 3.E-mail Address 2 请在 SMTP Server Name 设定您的 mail server,假设我的 mail server 为 192.168.171.25,那就将 192.168.171.25 输入到 SMTP Server Name 的字段。 当 然 如 果 您 有 将 SSG5 DNS enable , 您 就 可 以 使 用 hostname( 如 mail.ithome.com.tw)。 接着在 E-mail Address 的字段输入要被通知的管理人员的 E-mail Address 。 如

funkent@ithome.com.tw。 然后按下 Apply 即可。 ps: 当然您要将 Enable E-mail Notification for Alarms 勾选,另外还可以 选择 Include Traffic Log。 SSG5 三十天就上手-Day 17 SSG5 How to setup Radius Server 使用 Radius Server 认证 SSG5 可以让您设定外部的 Radius Server 来进行认证的工作,假设您有一台 freeradius ,已经安装好, IP 为 192.168.191.18,监听 1812 的 port,且 设定 Shared Secret 为 ithome。 您只要进行下列设定,就可以让您的 SSG5 可以使用这台 Radius 进行认证。 登入 SSG5 的 web 管理页面,并进入 "Configuration" => "Auth" => "Auth Servers " ,在右边的页面右上方,点选 NEW,您就可以设定下列信息: Name 输入您要为这台 Server 取的名称,假设我们取为 Radius。 IP/Domain Name 输入这台 Server 的 IP 192.168.191.18 Account Type 由于我们想要用在认证,所以勾选 Auth RADIUS Port 输入 1812 Shared Secret 输入 ithome 接着按下 OK ,这样您的 Auth Server 就设定完成。 SSG5 三十天就上手-Day 18 SSG5 如何利用 Radius Server 控制上网权限 透过 SSG5 轻松管理上网 通常公司都会管控同仁或是公司网络的上晚网权限,避免有人可以来乱上网。 在 SSG5 可以轻松做到对上网进行权限管控。 在第五天我们有介绍过 SSG5 Security Zones,假设您将您的 LAN 放在 Trust 的 Zone,把上网的线路, 放在 Untrust 的 Zone。 在第八天我们有介绍过 Policies , 您可以透过 Policies 来控制两个 Zone 之间的 traffic。

我们可以透过 Policies 中的进阶设定,设定我们在第十六天所设定完成的 Radius 来进行认证,只让认证通过的 user 可以上网。 设定方法如下: 请登入您 SSG5 的 web 管理接口,点选左边的 "Policy" ==>"Policies" ,然后在右边页面中,上方的 From 选择"Trust",To 选择 "Untrust",然后按 下最右边的 "New"。 设定好 Source Address 跟 Destination Address ,此范例中都选择 Any , Service 也选择 Any。 接着按下 "Advanced"进入进阶设定页面,勾选"Authentication",并挑选我们 设定好的 Radius Server。 按下 OK ,这样您就可以透过 Radius Server 控制上网权限。 SSG5 三十天就上手-Day 19 SSG5 如何 Creating a Secondary IP Address 让你的 Interface 挂多个 IP 有些情况,你会需要让你的 Interface 挂两个 IP ,一个挂外面 public ip, 另一个挂里面的 private ip。 这个时候您就可以利用 SSG5 Secondary IP Address 的功能,设定方法如下: 请登入您 SSG5 的 web 管理接口,点选左边的 "Network" ==>"Interfaces" ,然后在右边页面中,对于您要编辑的 interface 按下 edit。 在 edit 的页面中,上面 link 会有一个 Secondary IP,点下 Link 后,进入 Secondary IP 编辑页面,按下 Add,输入 IP 跟 Netmask 入下: IP Address/Netmask: 192.168.2.1/24 这样 SSG5 就可以在一个 interface 挂两个 IP 。 SSG5 三十天就上手-Day 20 SSG5 Simple Network Management Protocol Simple Network Management Protocol SSG5 也支持 Simple Network Management Protocol (SNMP),您可以透过 SNMP

监控 SSG5 的状态,如 CPU 或是流量等等,很多范例都是透过 Cacti 来抓 SSG5 SNMP ,藉由 Cacti 了解 SSG5 使用状态。 如果您要让 Cacti 可以利用 SNMP 抓取 SSG5 状态,您需要先对 SSG5 进行设定, 设定的方式如下: 请登入您 SSG5 的 web 管理接口,点选左边的 "Configuration " ==>"Report Settings"==>"SNMP" ,然后在右边页面中按下右上角的 New Community ,然后设定你的 Community Name,如 poblic,勾选您的 Permissions,默认值是全部勾选,然后选择支持 的 Version。 最后设定 Hosts IP Address 跟 Netmask,此设定需要将您 Cacti 的主机包含进去。然后 选择此设定的 Source Interface,这样您就可以透过 SNMP 抓取 SSG5 的状态。 SSG5 三十天就上手-Day 21 SSG5 Address Groups 设定群组 address 假设您在设定 Policy 的时候,希望可以设定严格一点,比如说 source address 不想要用 any, 但是您可能又有一堆 address 需要设定进去,这个时候您就可以 利用 SSG5 的 address groups。 设定方法如下: 请 登 入 您 SSG5 的 web 管 理 接 口 , 点 选 左 边 的 "Policy" ==>"Policy Elements"==>"Addresses"==>"Groups" , 然后在右边页面中左上方选择要新增的 Zone 之后按下右上角的 New ,然后设 定你的 Group Name,如 My Network,接着将您的 address 由右边拉到左边,然 后按下 OK 即可。 如果在上列步骤没有您要的 address 可以拉,那就到"Policy" ==>"Policy Elements"==>"Addresses"==>"List"中 , 然后在右边页面中左上方选择要新增的 Zone 之后按下右上角的 New ,然后设 定你的 address 即可。

SSG5 三十天就上手-Day 22 SSG5 Destination Static Routing Destination Static Routing 为了让你的 SSG5 知道要让封包走哪一条路,最简单的方式,就是在 SSG5 上面设 定 Destination Static Routing,让他知道这个目的地的地址,要走哪一条路。 设定的方法如下: 请登入您 SSG5 的 web 管理接口,点选左边的 "Network" ==>"Routing "==>" Destination" ,然后在右边页面中右上角的 New ,最简单的方式,就是设定 Next Hop 为 Gateway 的 方 式 , 当 然 在 IP Address/Netmask 要 设 定 目 的 地 的 IP 如 192.168.1.0/24,Next Hop 挑选 Gateway,并选择 Interface 以及设定 Gateway IP Address,如 eth0/2 与 192.168.3.1 (通常这个时候代表 192.168.3.1 这 台会知道接下来怎么走到 192.168.1.0/24)。 这样最简单的 Destination Static Routing 就设定完成了。 SSG5 三十天就上手-Day 23 SSG5 Site-to-Site VPN Virtual Private Networks (VPN) SSG5 最主要的用途, 除了一般做 NAT 跟 Routing,另外就是让你拿来建 VPN , 虽然在台湾申请点对点的线路(一般所说的 PN),在多家业者竞争下,已经比起 国外便宜许多。 但是跟一般上网线路比较起来,还是贵了许多,尤其如果你的点在国外,那这个 时候,就要靠 VPN 啰! 今天就跟大家介绍如何在 SSG5 上建立 Site-to-Site VPN。 在 SSG5 只需要简单三步骤: 步骤一:建立 VPN Gateway,让你的 SSG5 知道要跟谁建 VPN。 步骤二:建立 VPN Tunnel Interface,让你的 VPN 有一条隧道可以走。 步骤三:建立 VPN

以下步骤请先登入您 SSG5 的 web 管理接口,后进行操作,此范例假设我们两个 端点都是 Static IP Address。 建立 VPN Gateway: 点选"VPNs" ==> "AutoKey Advanced" ==> "Gateway",然后按下右上角的 New, 设定 Gateway Name,设定 Static IP Address,按下 Advanced,进入进阶设定 页面。 设定 Preshared Key, 请注意 Preshared Key 两个端点要设定相同, 挑选 Outgoing Interface, 一般就是你上网的那个 Interface。 按下下 Return 回到设定页面后, 再按下 OK。 建立 VPN Tunnel Interface: 点选"Network" ==> "Interfaces" ==> "List",右上角选择 Tunnel IF 后按下 New , 设 定 Tunnel Interface Name 可 以 挑 选 (1~10) , 设 定 Zone , 挑 选 Unnumbered(假设我们 Tunnel Interface 不设 IP),接着按下 OK。 建立 VPN: 点选"VPNs" ==> "AutoKey IKE",然后按下右上角的 New,设定 VPN Name,Remote Gateway 挑选 Predefined 然后选择你在第一步骤中设定的 Gateway,按下 Advanced,进入进阶设定页面。 Bind to 请选择 Tunnel Interface,并挑选你在第二步骤中新增的 Tunnel Interface。按下下 Return 回到设定页面后,再按下 OK。 将你的两个端点衣上列三个步骤执行后,大致上你的 VPN 就已经没有问题,不过 因为没有封包来他平常不会先帮你建好,接着你就设定你的 Routing(SSG5 三十 天就上手-Day 22),到诉你的 SSG5 路由怎么走,封包来时 VPN 就会帮你 UP。 SSG5 三十天就上手-Day 24 SSG5 VPN Options VPN 进阶选项

如果你看完 Day 23,那你已经知道如何在 SSG5 设定 VPN ,当然接下来你会希 望,可以让 SSG5 监控你的 VPN 状态。 通常我会建议您可以设定下列两个选项为 enable: VPN Monitor Rekey 您可以再昨天的步骤三建立的时后,在 Advanced 的设定页面中,将上列两个选 项打勾。 当您勾选了 VPN Monitor ,SSG5 会帮您用 ping 来监控,此时您就可以在 VPN Monitor 的页面中查看 VPN 的状态。 另外当您勾选了 Rekey,SSG5 就会立即帮你送出 ICMP echo requests。 所以当您在昨天的第三步骤勾选这两个选项后,您就会发现 VPN 设定完后马上 就会 UP。 SSG5 三十天就上手-Day 25 SSG5 VPN Debug Phase 1: Retransmission limit has been reached. 一般如果您按照 VPN 三步骤建好 VPN 之后,通常不会有什么问题,不过总是会 有粗心大意的时候,在这里就分享一个案例。 一般如果 VPN 建不起来,建议都先去看看 SSG5 的 event log,看看 SSG5 告诉 你发生什么事。 此案例中,SSG5 log 写说 Phase 1: Retransmission limit has been reached. 这边遇到这个问题大多会想说两端点是不是有通,曾经我就愈过,两边都互相 ping 的到,设定也都没有错,可是就事建不起来。 最后才发现,原来如果来回的路走不一样,也会让你建不起来。会来回走不一样 的原因是因为有一端的 SSG5 有多条线路。 解法就是调整的 Routing ,确保来回路都走一样,就可以解决这个问题。 SSG5 三十天就上手-Day 26 SSG5 Interface States

Interface State Changes 在 SSG5 的 interface 有下列四个 states: Physically Up -这 是 当 您 的 网 络 cable 实 际 让 你 的 SSG5 接 到 一 个 Network Device ( 如 switch 或 Notebook),线路正常的状态。 Logically Up -你可以在逻辑定义上,让你 interface 设为 up ,此时 traffic 才能通过你的 interface。

Physically Down -这 是 当 您 的 网 络 cable 实 际 让 你 的 SSG5 接 到 一 个 Network Device ( 如 switch 或 Notebook),线路断线的状态。 Logically Down -你可以在逻辑定义上,让你 interface 设为 down ,此时 traffic 无法通过你 的 interface。 SSG5 三十天就上手-Day 27 SSG5 Open Shortest Path First OSPF 如果有很多 site,那给个 site 都可以放一台 SSG5,你会发现维护你的 routing 会是很累人的事。 尤其当你有两条线路要手动切备援,更是累人。

此时建议您就可以 on ospf,让 SSG5 帮你自动算 routing ,要让 SSG5 on OSPF 只要以下几个简步骤。 步骤一,Create OSPF Instance 步骤二,设定 Area 中的 interface 步骤三,在 Interface 中将 OSPF 设定为 enable 这样你的 SSG5 就会启动 OSPF。 OSPF 会依据本身的设定放出的 routing,放出让邻居(另外一台 SSG5)学习,每 一条连接都有自己的 COST, 然后他会帮你算出最便宜的路,最后让你的 Routing 走最便宜的路线。 SSG5 三十天就上手-Day 28 SSG5 OSPF - Areas Areas SSG5 预设在你启用 ospf 的时候,会将所有的 routers 群组放入一个单独的 “backbone” area 这个 area 叫做 area 0 (你会在你的 SSG5 中看到 area 0.0.0.0)。 不过通常如果你的架构中,市一个很大的网络,那你会把他区分为几个小的 area。

在 SSG5 中,你可以在新增 area 时,设定你的 area type ,除了 normal,另外 两种类型说明如下: ■ Stub Stub area — 接收来自 backbone area 的 route summaries 但是不接收来自 其它的 area 的 link-state。 ■ Not So Stubby Area (NSSA) 像是一个 normal stub area, NSSAs 不能接收非本 area 外的 OSPF 以外的资 源。

SSG5 三十天就上手-Day 29 SSG5 OSPF - Security Configuration Configuring an MD5 Password 为了避免有人利用 OSPF 偷偷当你的非法邻居,乱放 routing 给你学,害你的 site 挂掉,建议你要对你的 SSG5 的 OSPF 设定安全性。 SSG5 可以让你在 interface 中设定明码或是 MD5 编码的密码,在这里建议你 选用 MD5,他最多可以让你输入 16 个字符,设定方式如下: 请登入你 SSG5 的 web 管理接口。 在左边选择"Network" => "Interfaces" =>然后对你要编辑的 interface 按下 Edit = 接着在上方的 Link 中点选 OSPF 进入 OSPF 设定页面后,挑选 MD5 的选项,并输入你的 key 与 Key ID,最后要 选 Preferred。 然后按下 apply 即可。 这样没有这定这个 key 的就不能来当邻居啰! SSG5 三十天就上手-Day 30 SSG5 OSPF - Network Types OSPF network types SSG5 支援下列 OSPF 的 network types: Broadcast broadcast network 这是你接到一个有很多 router 的网络,且可以送出广播。] 在 broadcast network 的 router 都假设可以彼此互相通讯。最简单的范例就 是 Ethernet。 在 broadcast networks 中, OSPF 会让 router 送出 hello packets 到 multicast address 224.0.0.5 以便动态的侦测决定他的 neighbor routers。 Point-to-Point point-to-point network 典型的透过 WAN(Wide Area Network) 将两个 router 加在一起。

最简单的范例就是两个 SSG5 透过 IPsec VPN tunnel 连接。 在 point-to-point networks 中。OSPF 会让 router 送出 hello packets 到 multicast address 224.0.0.5 以便动态的侦测决定他的 neighbor routers 。 Point-to-Multipoint OSPF 对 point-to-multipoint network 会 看 成 是 一 个 network。 他是连接的对方是 point-to-point 的 links. 在 SSG5 只有 Tunnel interface 才支持 Point-to-Multipoint。 non-broadcast


相关文章:
juniper防火墙命令大全(中文)
juniper防火墙命令大全(中文)_IT/计算机_专业资料。内详本文纯属个人爱好进行翻译整理的,如有差错望谅解并给出改正,现在正学习juniper防火 墙相关知识, 如有想一...
JUNIPER认证体系
JUNIPER认证体系_信息与通信_工程科技_专业资料 暂无评价|0人阅读|0次下载|举报文档 JUNIPER认证体系_信息与通信_工程科技_专业资料。JUNIPER认证体系详细资料。...
juniper-port
juniper 端口映射 网络 2010-05-20 16:10:58 阅读 25 评论 0 字号:大中小 Juniper 防火墙作为网络的一道关卡,除了控制内网用户访问外网之外还可以控制外网对内 ...
Juniper防火墙端口映射_图文
Juniper 防火墙端口映射以下操作均通过 WEB 用户管理界面进行: 一,添加自定义服务端口 1,选择菜单 Policy > Policy Elements > Services > Custom,进入自定义服务...
Juniper SRX配置手册
Juniper SRX配置手册_计算机硬件及网络_IT/计算机_专业资料。Juniper SRX 配置指导手册。Juniper SRX 防火墙配置手册 一、JUNOS 操作系统介绍 1.1 层次化配置结构 ...
Juniper路由器配置的保存方法
Juniper 路由器配置的保存方法 第一种方法 直接设置后确认: huxiaoming@huxiaoming# run show configuration | display set | no-more set version 8.5R1.14 ...
Juniper防火墙快速配置
4 1.1,JUNIPER 防火墙配置概述......................................................................................
Juniper-vip
Juniper-vip_IT/计算机_专业资料。Juniper防火墙的相关配置Netscreen 配置 VIP writer: demonalex[at]dark2s[dot]org NS 设备默认有三种 NAT 方式:DIP、MIP、VIP...
15 Juniper 防火墙的策略设置
15 Juniper 防火墙的策略设置_IT/计算机_专业资料。Juniper 防火墙的策略设置前面介绍了 Juniper 的策略元素 [Juniper 防火墙新手教程 14:Juniper 防火墙的策略元素]...
Juniper防火墙图解L2TP配置
Juniper防火墙图解L2TP配置_IT/计算机_专业资料。原创非常易懂詹博防火墙图解L2TP配置1,点击:Objects 中的 IPPools 添加一个 IP 地址池,这个地址池主要用来给我们...
更多相关标签: