Juniper 防火墙基本配置以及 l2tp vpn 拨号配置 By: 孙健 7 月31 日晚 目 录 Juniper 防火墙基本配置 .......................................................................................................... 1 Juniper 防火墙 L2tp ipsec 拨号配置 .............................................................................. 4 拓扑: C2811E1/1E1/2E1/3172.16.0.1/24LO 0LO 1172.16.0.2/24F0/010.10.10.1/24公司内部局域网做外网DMZ 区域192.168.0.199/2410.10.10.10/24192.168.0.1/24Trust区域Untrust区域172.16.1.3/24172.16.1.4/24FTP 设备清单: ISG1000,cisco2811,pc 2 台 目的: 熟悉juniper 防火墙vip,dip,policy 的配置,以及l2tp vpn 拨号配置 要求: 1, 外网用户可以访问DMZ 中的FTP 服务器,并且DMZ 区域内可以上互联网 2, Trust 区域可以访问Untrust 区域 ,并且可以上互联网 3, Untrust 区域用户可以通过L2tp 拨号访问Trust zone 一,基本实验 1,接口下配置相应的ip 地址,E1/1 为Tru st 区域,E1/2 为Untru st 区域,E1/3 为DMZ 区域 2,在Untru st 口上添加v ip 与DMZ Ftp 服务器之间映射 3,建立DIP 池 4,做一条 Untru st 到 DMZ 的策略,目的地址应用 v ip 做一条 DMZ 到 Untru st 的区域 源地址转换选 dip(可以选为接口) 做一条 Ttru st 到 Untru st 的区域,当T区域接口模式为NAT时防火墙自动在Tru st 区域做端口的nat,不需要在高级选项里选择 nat 5,设置一条缺省路由 指向公司内网无线路由器 192.168.0.1 当内网用户访问外网时,首先检查策略策略检查ok 后(在这个实验中策略里包含nat 转换,nat 转换成192.168.0.199 PAT 形式),在去查找路由表,没有相应路由条目则丢弃数据包。 基于接口的路由优先于基于目的的路由优先,基于目的的路由优先于基于源地址的路由 默认 tru st-v r 路由表..包含所有安全区域与自定义区域。 Ok….. Ju niper 防火墙 L2tp ipsec 拨号配置 1,建立一个拨号地址池,必须为未使用的以避免 ip 冲突 2,建立l2tp 帐户 3,可以将帐户加入组中便于管理 4,在v pns>l2tp>Defailt setting 里选择相应的验证服务器( 这里为本地),以及ip 地址池 5,v pns>l2tp>tu nnel 隧道名称为su njian,因为这里采用的是默认设置,所以验证服务器以及ip 地址池不需要动。(因为前面已经将默认设置配好了) 6 ,建立一条 Untru st 到 Tru st 的策略,应用 l2tp Action 选 Tu nnel L2tp 隧道选创建的隧道名称 su njian 勾选 logging 和 at session beginning,查看经过此策略的日志信息 7,pc 上更改注册表,建立 l2tp 连接 HKEY_LOCAL_MACHINE\SYSTEM\Cu rrentControlSet\Serv ices\RasMan\Parameters, 新增或修改 ProhibitIpSec 的值为 1 Ok………
