1、Juniper Netscreen 模拟实例配置分公司 B总部 A192.168.1.1801.1.1.1 1.1.1.14192.168.1.1ERPWEB192.168.1.1902.2.2.14 2.2.2.1192.168.2.13.3.3.14 3.3.3.1192.168.3.1合作伙伴 CL2TPIPsecWEB Server的公网映射地址为 1.1.1.12. 2.2.2.0的子网掩码是 255.255.255.240.1.1.1.0的子网掩码是 255.255.255.240. 3.3.3.0的子网掩码是 255.255.255.240.2总部 A的基本配置 接口设置以及安全
2、区的划分 内网交换机连接防火墙 Trust接口, Trust接口绑定到 Trust Zone。 内网网段为 192.168.1.0/24, Trust接口地址为 192.168.1.1。 公网路由器连接防火墙 Untrust接口, Untrust接口绑定到Untrust Zone。 公网路由器的地址为 1.1.1.14/28, Untrust接口为 1.1.1.1/28。 设置默认路由 将默认路由指向公网路由器的地址,将出口指向 Untrust接口。 设置内网( Trust)到外网( Untrust)的访问策略3内网接口( Trust Interface)的设置将将 Trust口绑定到口绑定到
3、 Trust Zone设置接口设置接口 IP地址地址4外网接口( Untrust Interface)的设置如果允许在外网进如果允许在外网进行网管请打开相关行网管请打开相关选项选项5默认路由的设置0.0.0.0/0代表代表默认路由默认路由指定出口以及网指定出口以及网关地址关地址6内网( Trust)到外网( Untrust)的访问策略Any代表任意地址代表任意地址允许内网访问外允许内网访问外网网7总部 A的地址映射 /服务器访问设置WEB服务器( 真实地址 192.168.1.180;公网映射地址 1.1.1.12) 在 Untrust接口上设置 MIP,做 1vs1的地址映射。 通过设置策略
4、允许外网访问 MIP上的 WEB服务( 80端口)。ERP服务器 设置 ERP服务器的真实地址 192.168.1.190。 设置 ERP服务器的应用服务( TCP8888端口)。 设置 B公司的内网地址段: 192.168.2.0/24。 设置 C公司的内网地址段: 192.168.3.0/24。 通过设置策略允许 B、 C公司可以通过 VPN隧道访问 ERP服务器。8在 Untrust接口设置 MIP在这里输入公网在这里输入公网地址地址在这里输入真实在这里输入真实服务器地址服务器地址9设置策略允许外网访问 WEB服务器在目的地址里选在目的地址里选择择 MIP地址。地址。在服务里选择在服务里选择HTTP。10
