上一主题   |   下一主题
1/3页123 跳转到查看:6427
发新话题 回复该主题
键盘左右键可以进行前后翻页操作
帮助

Netscreen 50防火墙VPN配置

离线 该用户已被删除

  • 游客
  • 0
  • 0
该用户已被删除 2007-12-18 03:08 | 只看楼主 树型| 收藏| 1 #

Netscreen 50防火墙VPN配置方法(1)

图片要是看不清,请直接点击图片,或下载图片!!!
ethernet1设为trust
ethernet3设为untrust
一、通道的配置
    1初始化防火墙

 附件: 您所在的用户组无法下载或查看附件

Netscreen防火墙的默认IP192.168.1.1/255.255.255.0,用户名和密码相同:netscreen;可采用下一步中的WEB UI方法来进行配置,但容易发生错误,建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。上图中的第一步为配置通道类型,第二步为配置端口的IP地址(这里所指的是一端口),第三步为配置管理IP,第四步保存,第五步重启防火墙使用设置生效。以后可以通过IE浏览器键入防火墙地172.16.0.1来进行管理了。
   
    2Trust通道的配置


 附件: 您所在的用户组无法下载或查看附件

键入相应用户名:netscreen和密码:netscreen(默认)进入WEB管理界面,点击左边菜单中Network展开菜单,点击Interfaces,(在以下的内容中关于菜单部份我们将采用Network>>Interfaces来表示)在出现的界面中点击端口名为:ethernet1后的EDIT,出现上图中内容。修改图画红线的部份.
    AZone Name(通道类型):从设备连接图中可以看出端口一和内网相连,所以我们要选择Trust(信任区)
    BIP Address/NetmaskIP地址和子网掩码):填写172.16.0.1/16,上网用户网关地址
    CManage Ip(管理IP):一般系统不允许修改
    DInterface Mode(接入方式):选择NAT转换模式
    EManagement Services(服务类型):选择图中的几项,为了远程管理防火墙。
    FOther Services:建议选择PING,方便测试网络的连通情况。


    3UNtrust通道的配置



 附件: 您所在的用户组无法下载或查看附件


点击菜单中Network>>Interfaces,在出现的界面中点击端口名为:ethernet3后的EDIT,出现上图中内容。修改图中画红线的部份

    AZone Name(通道类型):从设备连接图中可以看出端口三和公网相连,所以我们要选择UNTrust(非信任区)
    BObtain IP using PPPoE(选择):填写上网的用户名和密码
    CManage Ip(管理IP):一般系统不允许修改
    DInterface Mode(接入方式):选择NAT转换模式
    EManagement Services(服务类型):为了安全建议不选择任何内容
    FOther Services:建议不选择PING


    4、路由的配置

 附件: 您所在的用户组无法下载或查看附件


点击菜单中Network>>Routing>>Routing Table ,在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由(因为采用的是动态IP),所以没有必要在手功加路由了。

    5、定义策略

 附件: 您所在的用户组无法下载或查看附件

点击菜单中Policies,选择FromTrustToUntrust点击右边的NEW按钮,出现上图所示内容。修改图中红线部份
    AName(名称):可任意输入
    BSource Address:当选择New Address并写入172.16.0.2/32时所表示的意思是:只允许IP地址为172.16.0.2的主机通过防火墙防问公网;当选中Address Book且选择了ANY时所有内网用户都可以防问公网
    CDestination Address:当选择New Address并写入相相应IP地址和子网掩码时所表示的意思是:只允许防问公网的一个地址或一个地址段,这取决于子网掩码的设置。如当子网掩码为255.255.255.25532时指的就是一个地址,反之指一个地址段;当选中Address Book且选择了ANY时用户可以防问公网的所有地址;
    DService:可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页

    5、定义VPN用户防问地址


 附件: 您所在的用户组无法下载或查看附件

点击菜单中Objccts>>Addresses>>List,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
    AAddresses Name(名称):填写VPN_LAN
    BIP/Netmask:填写172.16.0.0/16,所表示意思为VPN用户拔号进入后可防问内网中所有主机
    CZone:选择Trust
    D、点击OK按钮

过段时间在发第二部分!!!
VPN的配置







TOP

离线 千里共赚钱
头像

  • 新手上路
  • 0000-00-00
  • 161
  • 16
  • 2007-12-18
千里共赚钱 2007-12-18 03:27 树型| 收藏| 2 #

谢谢了!~~~~~~~~~~~~:handshake

TOP

离线 shenmnanh
头像

  • 中级会员
  • 0000-00-00
  • 331
  • 84
  • 2007-08-02
shenmnanh 2007-12-19 07:32 树型| 收藏| 3 #

下一个要回复一次,好累人哦

TOP

离线 ayumi113
头像

  • 新手上路
  • 0000-00-00
  • 50
  • 6
  • 2007-12-25
ayumi113 2007-12-25 02:31 树型| 收藏| 4 #

支持支持
好好学习一下

TOP

离线 醉里方休
头像

  • 新手上路
  • 0000-00-00
  • 143
  • 22
  • 2007-12-12
醉里方休 2008-01-04 01:53 树型| 收藏| 5 #

不错! 顶      不错! 顶  不错! 顶  不错! 顶

TOP

离线 babylanwei
头像

  • 注册会员
  • 0000-00-00
  • 56
  • 16
  • 2007-12-18
babylanwei 2008-01-13 02:47 树型| 收藏| 6 #

呵呵,怎么发现大家对VPN这么感兴趣,其实VPN做起来很简单,关键是要配置策略和路由,要管理好网络,关是VPN是远远不够的

TOP

离线 jeckchen
头像

  • 新手上路
  • 0000-00-00
  • 182
  • 23
  • 2007-10-09
jeckchen 2008-01-30 04:58 树型| 收藏| 7 #

我建成功了,谢谢,可是连接了VPN就不能上网了,这个问题能不能解决啊

TOP

离线 swordft
头像

  • 新手上路
  • 0000-00-00
  • 29
  • 3
  • 2008-03-18
swordft 2008-03-18 16:32 树型| 收藏| 8 #

楼主辛苦了,这是好东西哦

TOP

离线 pass.ccna
头像

  • 新手上路
  • 0000-00-00
  • 234
  • 35
  • 2008-05-29
pass.ccna 2008-05-29 13:44 树型| 收藏| 9 #

vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv

TOP

离线 pass.ccna
头像

  • 新手上路
  • 0000-00-00
  • 234
  • 35
  • 2008-05-29
pass.ccna 2008-05-29 13:45 树型| 收藏| 10 #

vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv

TOP

上一主题   |   下一主题
1/3页123 跳转到
发表新主题 回复该主题