Juniper NetScreen-5GT的基礎配置

 

       這篇文章只是Juniper NetScreen-5G的一些入門配置，就是能把這個東西配置起來，實現一個基於策略的站點到站點的***,把一個公司與另一公司通過這個***連起來。配置***的目的主要是想讓兩個公司的郵件通過這個***通信。

實驗環境：

站點A：

(1) ISP提供的IP爲：61.172.1.100/27

(2) 使用192.168.3.0/24爲局域網網段，也是這個網段***到另一站點B

站點B：

(1) ISP提供的IP爲：61.172.1.200/27

(2) 使用192.168.5.0/24爲局域網網段，也是這個網段***到另一站點A

*：61.172.1.100/200是我隨意寫的，若真的有純屬巧合。

使用設備都爲Juniper NetScreen-5G且工作模式是Trust-Untrust。（configuration>port mode）

1,基本配置

1.1設置公網IP，Network>Interfaces>untrust>Edit

如果想通過這個IP來管理該設備則把Manageable勾選，並在management services中選web UI,Telnet,SSH,SNMP,SSL方式之一進行管理該設備。爲了安全一般不這樣做。

1.2，設置trust的IP,局域網IP, Network>Interfaces>trust>Edit

這裏最好設一個固定的IP，manageable勾選，management services裏我都選中了，因爲我想通過這個IP來管理這個設備。Other services裏還選了一個ping ,當發生問題時我想ping 一下這個設置，看看它有沒有down掉。

1.3，設置它爲局域網內提供DHCP服務，Network>DHCP>trust>Edit

設置DHCP的作用範圍：Network>DHCP>trust>Edit>Addresses

1.4,設置DNS，Network>DHCP>trust>Edit> Advanced Options

1.5,配置網關，Network>Routing>Destination>選trust-vr,>new

在IP Address/netmask寫0.0.0.0/0就可以，其實就是添加了一個靜態路由，Network>Routing>Destination，如下圖

1.6，配置策略，Policies>new

接着做如下設置

在source Address 裏選ANY,表示與trust口在同一網段並以此trust口的IP爲網關的計算機都可以訪問到Destination Address設置的IP，service的服務（FTP,MAIL,DNS,MSN），Action選permit。這條策略如果沒有則要添加，若有就不用設置了。

完成以上的配置後，局域網內192.168.3.0通過這個設備就可以上網了。如果設備是新的，則可以通過嚮導完成以上設置。

2，端口映射，也叫開端口。

2.1把SMTP服務，POP3或IMAP映射到網內的MAIL服務器192.168.3.10

NetWork>Interfaces>untrust>Edit>VIP>New VIP Service

以上服務都是默認的端口，如果在實際應用時，更改常用服務的端口，那就要做相應的改動。比如把http的80更改爲8080，那麼就要做VIP時，Virtual Port那地方更改爲8080。

2.2，創建一個新服務，端口爲6000-8000

Objects>Services>Custom>New

NetWork>Interfaces>untrust>Edit>VIP>New VIP Service

2.3，創建一個服務組g-vip，把SMTP,POP3,IMAP,s-test放到這個組裏

Objects>services>groups

完成2.1及2.2的操作後，不要忘了做策略，否則是無效的。

Policies

接着做以下設置

設置以上策略，就是隻允許外網訪問內網的SMTP,POP3,IMAP及自定義的服務s-test(開放的6000-8000端口)

完成以上設置後，通過NetWork>Interfaces>untrust>Edit就可以看到以下內容：

到此就可以看到畫紅線的兩條策略：

到這一步後，Juniper NetScreen-5GT基本功能就完成了。

基於策略的站點到站點的***,自動密鑰IKE

3，配置一個站點到站點的***，在這配置一個簡單的基於策略的站點到站點的***,自動密鑰IKE使用共享機密。

3.1，***S>Autokey Advanced> Gateway>new

如果Security Level 選擇了Custom，則在上圖中再選擇advanced,進階設置安全

兩端要設置相同的配置。

3.2，***S>Autokey IKE>New

選Advanced進一步設置security level，因爲我選了custom

3.3,最後一定要記住做策略

在做策略前，我們先創建兩個Address Book，就相當於給局域網內要進行***的網段起個名字；另一站點要進行***的網段起個名字，這樣做的目的是要給***的網段範圍進行劃分。

Objects>Addresses>New

Objects>Addresses>New

Policies

到此爲止，我們所做策略就4條：

一定要注意的是策略是有順序的，比如把ID爲3的那條與ID爲1的那條策略的上下順序調整一下，你就會發現配置的***沒有達到目的，就是當你ping 192.168.5.2時發現不通。就因爲當時我沒注意到這點，***總是不通鬱悶了好幾天，配置過程沒有錯誤，可就是不通。

結束語：

Juniper NetScreen-5GT設備功能很強，這裏只是一些基礎配置，要想詳細學習就要認真閱讀NetScreen中文指南。因本人水平有限，對Juniper NetScreen-5GT的“內功心法”理解不深，所以也只能在這裏說說它的招式。若有錯誤，請指正。