Juniper-NS-5GT-108中文手册1.恢复默认
通电后,用尖物按住RESET,STATE灯由橘红色闪烁后变绿,放开;再来一次;断电后再接电即可。
2。首次登陆WEB管理ip: 192.168.1.1user name: netscreenpw: netscreen安全设置如下:改密码;只允许内网指定IP访问WEB管理(或者只允许物理连接CONSOLE口管理)
3.netscreen防火墙+NAT代理上网设置前提:未开通vlan,固定公网ip地址线路接入。具体配置如下外网 untrust IP: 172.18.125.33/32 GW:172.18.125.254 内网 trust IP:192.168.1.1/24 GW:192.168.1.1 1)设置接口地址
Network > Interfaces >(trust)>Edit
Static IP IP Address / Netmask :192.168.1.1/24
Interface mod: NAT service Options: web ui snmp ping
2)设置路由
Network > Routing > Routing> Destination
选择trust-vr 点New进入到Network > Routing > Routing Entries > Configuration
IP Address/Netmask: 0.0.0.0/0
Gateway:
Interface: Untrust
Gateway ip Address: 172.18.125.254 3)设置dns
Network > DNS > Host
Primary DNS Server 202.96.209.133
Secondary DNS Server 202.96.209.5
4)设置策略
Policies>选择From (Trust) To (Untrust) 点 NEW
Source Address 192.168.1.0/24
Destination Address Any
Service Any
勾选Logging 及 at session beginning
5)启用dhcp服务
network>dhcp>trust(192.168.1.1/24) 设置DNS和address范围
6)在客户端机器测试
4 端口转发(如3389)
NetScreen 设备默认有三种NAT方式:DIP、MIP、VIP。其中:
DIP用于针对NAT-scr方式的地址映射(连接发起端的NAT方式);
MIP用于针对主机地址一对一的映射;相当于把内网机器直接放到外网。
VIP用于针对服务(端口)的映射。
下面以VIP为例:
1)设置网卡端口映射
Network-Interfaces -点外网IP后面的Edit- VIP-【Same as the untrusted interface IP address (点add)这一步没有找到可以省略】
-点NEW VIP Service 就可以设置了
Virtual IP 外网IP
Virtual Port 填3389
Map to Service 的下拉列表选择刚添加的端口3389
Map to IP 填内网的ip
点击ok
2)加一个防火墙策略
点击左列的Policies,将from后面的all zones改为Untrust,将To后面的all zones改为Global
点击 最右边的New,Name第一行 随意 我这里填的是要映射的端口号3389
图片中显示的 VIP(ethernet0/0) 可以选any 也可以选vip字样的 也有可能显示VIP::1
完成后 点ok。
3)添加服务端口
Objects -Services -Custom -NEW
除了选择tcp udp以及填写 3389 的地方 其他都默认
5 VPN-L2TP设置 (第二层隧道协议 Layer 2 Tunneling Protocol)
netscreen 5gt服务器端:
1)设置L2TP 用户
Objects > Users > Local > New:输入以下内容,然后单击OK:
User Name: test
Status: Enable
L2TP User: (选择)
User Password: 123456
Confirm Password: 123456
2)设置L2TP 用户组
Objects > User Groups > Local > New:在“Group Name”字段中,键入vpntest,然后单击OK:
选择test,然后使用<< 按钮将它从“Available members”列中移动到“Group members”列中。
3) 缺省L2TP 设置
Objects > IP Pools > New:输入以下内容,然后单击OK:
IP Pool Name: vpnpool
Start IP: 192.168.1.35 (这里的地址是动态分配给拨号客户端的,不要和防火墙保护
End IP: 192.168.1.38 的地址起冲突)
VPNs > L2TP > Default Settings:输入以下内容,然后单击OK:
IP Pool Name: vpnpool
PPP Authentication: CHAP
DNS Primary Server IP: 202.96.209.133
DNS Secondary Server IP: 202.96.209.5
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
4)设置L2TP 通道
VPNs > L2TP > Tunnel > New:输入以下内容,然后单击OK:
Name: vpnclient
Use Custom Settings (选择)
Authentication Server: Local
Dialup Group: Local Dialup Group - vpntest
Outgoing Interface: untrust
Peer IP: 0.0.0.0
Host Name (optional):空着。
Secret (optional): 空着。
5)策略
Policies > (From: Untrust, To: Trust) New:输入以下内容,然后单击OK:
Source Address:
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
Service: ANY
Action: Tunnel
Tunnel L2TP: vpnclient
Position at Top:(选择)
点击Advanced〉NAT:Source Translation(选择) > Return > OK
备注:这里的SNAT是必须要选的,否则VPN连接后无法和LAN里其他机器通讯。
Windows xp客户端:
创建VPN 客户端连接
1)、双击“控制面板\网络和拨号连接\新建连接”,然后“下一步”
2)、“网络连接类型”选择“通过Internet连接到专用网络”,点“下一步”
3)、公用网络,根据自己情况选择“不拨初始连接”或“自动拨此初始连接”,然后“下一步”
4)、输入VPN SERVER 的域名或IP地址,点“下一步”
5)、给此链接起个名字就完成了这个新链接的创建,右击,属性,网络选项卡,vpn类型选择“L2TP IPSec VPN”。
6)在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1
然后重启机器
7)双击这个新创建的拨号连接,输入用户名和密码进行连接。用户名和密码就是前面新增用户时输入的名字和密码。
备注:连入VPN后本地无法连接互联网,这是由于本地路由的改变。
6.多VLAN共享上网
网络结构环境:交换机3550emi+防火墙netscreen25 NAT上网
在3550上划分了四个VLAN:
vlan1(192.168.1.0)本地管理
vlan2;vlan2(192.168.2.0);
vlan3(192.168.3.0);
vlan4(192.168.4.0),
3550的f0/24口(192.168.5.2)接NS防火墙内网接口(192.168.5.1):
具体配置流程要点:
1、划分vlan并设置各vlan地址 ip address做为各vlan中pc的默认网关
2、三层交换机的某一端口(fa0/24)设置为三层端口(no switchport)并配置ip地址(192.168.5.2)以便和防火墙的lan口相连接
3、三层交换机上启用vlan间路由命令ip routing,并配置缺省路由ip route 0.0.0.0/0 防火墙的lan地址(192.168.5.1)
4、防火墙netscreen25的接口和NAT策略配置
5、防火墙上配置回指路由ip route 192.168.0.0 255.255.0.0 192.168.5.2
备注:由于网关做在交换机上,所以就要在防火墙上做一条回指路由,指向你的网关。如果你的网关做在防火墙或路由器上面,那么就不需要做回指路由了
7.
阅读(1520) | 评论(0) | 转发(0) |
