Juniper防火墙基本配置以及l2tpvpn拨号配置

Juniper 防火墙基本配置以及 l2tp vpn 拨号配置 By： 孙健 7 月31 日晚 目 录 Juniper 防火墙基本配置 .......................................................................................................... 1 Juniper 防火墙 L2tp ipsec 拨号配置 .............................................................................. 4 拓扑： C2811E1/1E1/2E1/3172.16.0.1/24LO 0LO 1172.16.0.2/24F0/010.10.10.1/24公司内部局域网做外网DMZ 区域192.168.0.199/2410.10.10.10/24192.168.0.1/24Trust区域Untrust区域172.16.1.3/24172.16.1.4/24FTP 设备清单： ISG1000，cisco2811，pc 2 台 目的： 熟悉juniper 防火墙vip，dip，policy 的配置，以及l2tp vpn 拨号配置 要求： 1， 外网用户可以访问DMZ 中的FTP 服务器，并且DMZ 区域内可以上互联网 2， Trust 区域可以访问Untrust 区域 ，并且可以上互联网 3， Untrust 区域用户可以通过L2tp 拨号访问Trust zone 一，基本实验 1，接口下配置相应的ip 地址，E1/1 为Tru st 区域，E1/2 为Untru st 区域，E1/3 为DMZ 区域 2，在Untru st 口上添加v ip 与DMZ Ftp 服务器之间映射 3，建立DIP 池 4，做一条 Untru st 到 DMZ 的策略，目的地址应用 v ip 做一条 DMZ 到 Untru st 的区域 源地址转换选 dip（可以选为接口） 做一条 Ttru st 到 Untru st 的区域，当Ｔ区域接口模式为ＮＡＴ时防火墙自动在Tru st 区域做端口的ｎａｔ,不需要在高级选项里选择 nat 5,设置一条缺省路由 指向公司内网无线路由器 192.168.0.1 当内网用户访问外网时，首先检查策略策略检查ok 后（在这个实验中策略里包含nat 转换，nat 转换成192.168.0.199 PAT 形式），在去查找路由表，没有相应路由条目则丢弃数据包。 基于接口的路由优先于基于目的的路由优先，基于目的的路由优先于基于源地址的路由 默认 tru st-v r 路由表..包含所有安全区域与自定义区域。 Ok….. Ju niper 防火墙 L2tp ipsec 拨号配置 1，建立一个拨号地址池，必须为未使用的以避免 ip 冲突 2，建立l2tp 帐户 3，可以将帐户加入组中便于管理 4，在v pns>l2tp>Defailt setting 里选择相应的验证服务器（ 这里为本地）,以及ip 地址池 5，v pns>l2tp>tu nnel 隧道名称为su njian，因为这里采用的是默认设置，所以验证服务器以及ip 地址池不需要动。（因为前面已经将默认设置配好了） 6 ,建立一条 Untru st 到 Tru st 的策略，应用 l2tp Action 选 Tu nnel L2tp 隧道选创建的隧道名称 su njian 勾选 logging 和 at session beginning，查看经过此策略的日志信息 7，pc 上更改注册表，建立 l2tp 连接 HKEY_LOCAL_MACHINE\SYSTEM\Cu rrentControlSet\Serv ices\RasMan\Parameters, 新增或修改 ProhibitIpSec 的值为 1 Ok………