juniper ssg-5-sh 新手配置手册

JUNIPERSSG5SH新手配置手册SSG5三十天就上手DAY1SSG5是什么要学SSG5之前，当然是要先知道什么是SSG5，本篇文章，会先对SSG5作简单的介绍让大家知道SSG5是什么它有哪些功能以及如何运用它JUNIPERSSG5（基本型）参数细节（200707上市）基本规格防火墙类型企业级防火墙网络吞吐量160MBPS并发连接数4000主要功能地址转换,防火墙,统一威胁管理/内容安全,VOIP安全性,VPN,防火墙和VPN用户验证,路由,封装,流量管理（QOS）,系统管理,日志记录和监视网络网络管理系统管理,NETIQWEBTRENDS,SNMPV2,SNMPFULLCUSTOMMIB,CONSOLE,TELNE,SSH,NETSCREENSECURITYMANAGER,ALLMANAGEMENTVIAVPNTUNNELONANYINTERFACE,RAPIDDEPLOYMENT端口类型7X10/100,广域网出厂配置的RS232SERIAL/AUX或ISDNBRIS/T或V92安全性过滤带宽40MBPS人数限制无用户数限制入侵检测DOS，DDOS安全标准CSA，CB端口参数控制端口CONSOLE电气规格电源电压100240VAC外观参数产品质量059KG长度MM143宽度MM222高度MM41环境参数工作温度040工作湿度1090，非冷凝存储温度2065存储湿度1090，非冷凝企业用途一般网络工程师最头痛的莫过于受到外部网络的攻击，有了SSG5让你的外网可以搭建简单而又不失安全性。如果公司有一条与外线相连，通过SSG5可以轻轻松松帮你建立SITETOSITE的VPN。SSG5三十天就上手DAY2SSG5如何还原到出厂设定值。方法一在SSG5的后面有一个RESET的针孔，如果今天只是要跟你说用针插一下这个孔，那我就略掉了。当然它绝对不是你所想得这么简单，要使用RESET重启按钮，你需要对该针孔插两次针，且不是随便插，你必须配合它的灯号，第一次插大约4秒不动，然后灯号变成一红一绿，在将针拔出间隔约1秒之后，再将针插入约4秒，如此才能完成RESET操作。方法二CONSOLERESET需要连到SSG5的CONSOLE线一根，它是一端为COMPORT另一端为RJ45，跟CISCOSWITCH用的线一样。将线连接到SSG5的CONSOLEPORT后，使用超级终端连接SSG5，然后帐号密码都输入SSG5背后贴纸的序号。接着按下两次Y，如此你就可以还原到原厂设定值。还原后的SSG5预设帐号和密码都为NETSCREEN。SSG5三十天就上手DAY3SSG5如何进行备份与还原。一般如果有两台SSG5要互相替换，当然最佳的方法是做HA，可惜在没有钱的IT界，一定是一台SSG5来当很多台的BACKUP，此时如果在线的SSG5挂了，如何让你BACKUP的SSG5，可以快速还原就非常重要第一、平时要对你在线的SSG5进行CONFIG的BACKUP，请登入你SSG5的WEB页面，在左边的选单中，进入然后在右边画面中，点选如此就能BACKUP你的CONFIGURATION。第二、进行快速还原，请登入你BACKUP的SSG5的WEB页面，在左边的选项中，进入，在右边画面中UPLOADCONFIGURATIONTODEVICE选择REPLACECURRENTCONFIGURATION，并按下选择出第一步骤中所备份出FILE。SSG5三十天就上手DAY4SSG5如何进行软件更新。新版软件会帮你解决一些旧版的BUG之外，还会进行功能的改进，因此对SSG5进行软件升级就变成你必备的技能。下载软件你可以拿你SSG5的序列号，到JUNIPER的网页，注册一个账号，注册后你可以DOWNLOAD新版SSG5的软件。更新软件准备好软件档案后，登入你的SSG5的WEB页面，在左边的选单中，进入，在右边画面中选择FIRMWAREUPDATESCREENOS，并按下选择出第一步骤中所备出FILE。接着就等SSG5更新完毕SSG5三十天就上手DAY5SSG5SECURITYZONESSECURITYZONES安全区设定你可以通过SECURITYZONES将你的SSG5切个为多个安全区域，在SSG5中预设会有下列ZONESNULLTRUSTUNTRUSTSELFGLOBALHAMGTUNTRUSTTUNV1NULLV1TRUSTV1UNTRUSTDMZV1DMZVLAN其中建议你最少要使用两个SECURITYZONES将你的网络进行区隔。在默认值中会将ETHERNET0/0放到UNTRUST，ETHERNET0/1放到DMZ，其它放到TRUST。假设你只有一条对外线，建议你将该线路放到ETHERNET0/0UNTRUST，内部就放到TRUST。然后再设定SSG5的POLICY来保护内部网络。SSG5三十天就上手DAY6SSG5INTERFACEINTERFACE是SSG5中实际封包进出的出入口，经由INTERFACE让封包来进出SECURITYZONE。为了让网络封包能够进出SECURITYZONE，你必须将BIND一个INTERFACE到该SECURITYZONE，如果你要让两个SECURITYZONE互通封包时，你就必须设定POLICIES就像是IPTABLES。你可以把多个INTERFACEBIND到同一个SECURITYZONE，但是一个INTERFACE只能被BIND到一个SECURITYZONE，也就是说INTERFACE跟SECURITYZONE是多对一的关系。INTERFACETYPESPHYSICALINTERFACES这就是你SSG5中的实体网络PORT，你可以对照SSG5机体上的编号ETH0/0ETH0/6共有七个网络PORTBRIDGEGROUPINTERFACESSUBINTERFACESAGGREGATEINTERFACESREDUNDANTINTERFACESVIRTUALSECURITYINTERFACESSSG5三十天就上手DAY7SSG5INTERFACEMODES在SSG5INTERFACE可以以下列几种方式运作TRANSPARENTMODENATNETWORKADDRESSTRANSLATIONMODEROUTEMODEINTERFACE被BIND在LAYER3且有设定IP时可以选择使用NAT或ROUTE方式运作。INTERFACE被BIND在LAYER2的ZONE时，INTERFACE需以TRANSPARENT方式运作。TRANSPARENTMODE当INTERFACE在此模式时，IPADDRESS会设定为0000，此时SSG5不会对于封包中的SOURCE或DESTINATION信息做任何的修改。SSG5此时就像扮演LAYER2SWITCH或BRIDGE。NATMODE此时你的SSG5就像扮演LAYER3SWITCH或是ROUTER，会对封包进行转译TRANSLATES，他会换掉流向UNTRUSTZONE封包的SOURCEIP跟PORT。ROUTEMODE当SSG5的INTERFACE在此模式时，防火墙不会对于两个不同ZONE之间的封包做SOURCENAT。SSG5三十天就上手DAY8SSG5POLICIESPOLICIES你可以将它想成IPTABLES在SSG5中，预设会将跨SECURITYZONE的封包INTERZONETRAFFICDENY，BIND在同一个ZONE的INTERFACE的封包INTRAZONETRAFFIC预设为ALLOW如果你需要对以上预设行为进行调整，那你就必须透过POLICIES来进行。POLICIES由下列基本元素所组成DIRECTION这是指封包的流向从SOURCEZONE流向DESTINATIONZONESOURCEADDRESS这是封包起始的地址DESTINATIONADDRESS这是封包要送到的地址SERVICE这是封包的服务种类，如DNS、HTTP等等ACTION这是当收到封包满足此POLICES时要进行的动作。举例来说假设你要设定任何地址都可以由TRUSTZONE到UNTRUSTZONE中的10001的FTPSERVER，则你的基本POLICIES元素如下DIRECTION从TRUST到UNTRUSTSOURCEADDRESSANYDESTINATIONADDRESS10001SERVICEFTPFILETRANSFERPROTOCOLACTIONPERMITTHREETYPESOFPOLICIES你可以通过下列三种型态的POLICIES来控制您的封包INTERZONEPOLICIES控制一般ZONE与ZONE之间的封包。INTRAZONEPOLICIES控制同一ZONE之间的封包GLOBALPOLICIES套用到所有ZONESSG5三十天就上手DAY9SSG5DOMAINNAMESYSTEMDNSSUPPORTSSG5也支持DNS，让你可以通过DNSNAME来找到IPADDRESS。在你要使用DNS之前，你需要先在你的SSG5上设定DNSSERVER。假设你的DNSSERVER的IP为19216812跟19216813，并且你要将DNS设定为每天晚上11点REFRESH。请登入你SSG5的WEB页面，点击左边的“NETWORK“DNS“HOST“然后在右边的页面中，输入下列之信息PRIMARYDNSSERVER19216812SECONDARYDNSSERVER19216813DNSREFRESH请勾选并手动在EVERYDAYAT字段上输入2300，然后按下APPLY，这样你SSG5的DNS就设定完成了。SSG5三十天就上手DAY10SSG5DHCP（DYNAMICHOSTCONFIGURATIONPROTOCOL）SUPPORTDHCPDYNAMICHOSTCONFIGURATIONPROTOCOL可以用来让网络中的计算机自动获取IP。通过DHCP可以让网络工程师对网络中的计算机设定更容易。SSG5在DHCP中可以办演下列角色DHCPCLIENT可以通过网络中的DHCPSERVER取得所配发的IP。DHCPSERVER可以在网络中配发IP给DHCPCLIENT。DHCPRELAYAGENT负责接收网络中的DHCPCLIENT要求IP的封包，并转给RELAY给指定的DHCPSERVER，必取得SERVER所配IP之讯后，转回给CLIENT。要在SSG5中设定DHCP，请登入SSG5的WEB管理接口，点选左的“NETWORK“DHCP“然后在右边的页面中，选择要设定的INTERFACE，点选CONFIGURE字段中的EDIT。如此就可以设定DHCP相关信息。当你的INTERFACE为DOWN或IP设定为0000/0就是没设IP，你只能选择DHCPCLIENT。其它你可以在上述中的三个角色三选一。若选择DHCPRELAYAGENT，接着设定RELAYAGENTSERVERIP或DOMAINNAME。若选择DHCPSERVER，接着设定DHCPSERVER其它相关设定SERVERMODE可选择AUTOPROBING、ENABLE、DISABLE一般会选择ENABLELEASE预设为UNLIMITED接着GATEWAYNETMASKDNSWINS等相关信息即可。SSG5三十天就上手DAY11SSG5SETUPPPPOE（POINTTOPOINTPROTOCOLOVERETHERNET）如果公司的外线没有固定IP，那大多会使用大多是ADSLPPPOE拨号上网。SSG5对PPPOE的支持也没有问题，在SSG5的默认值中，通常会将ETH0/0设定在UNTRUST的ZONE，并使用ETH0/0来当做对外线路，所以这里也建议你可以利用ETH0/0来设定PPPOE的拨号上网。SETTINGUPPPPOE请登入SSG5的WEB管理接口，点选左边的“NETWORK“INTERFACES“，然后在右边的页面，对ETH0/0点选“EDIT“，进入编辑页面后，点选“OBTAINIPUSINGPPPOE“，并接着在选项后面有一个LINKCREATENEWPPPOESETTING可以让您点选并CREATE你的PPPOE的PROFILE，或者你已经是前就先CREATE后，也可以直接在选项后直接使用下拉选单挑选事先CREATE好的PPPOEPORFILE。CREATEPPPOEPROFILE请登入SSG5的WEB管理接口，点选左边的“NETWORK“PPP“PPPOEPROFILE“，然后在右边的页面右上方，按下“NEW“的按钮，接着设定PPPOEINSTANCE这是这个PROFILE的名子、接着输入从ISP那边拿来的帐号密码。这样你的SSG5就可以使用PPPOE拨号上网了。SSG5三十天就上手DAY12SSG5SETUPNETWORKBOOT（SSG5支持网络开机）当你的环境中，可以网络开机时候，你可以让SSG5也支持这样的设定。一般如果你要让NETWORKBOOT可以正常WORK，你必须在你的DHCPSERVER中，设定两个项目1NEXTSERVER这个IP是TFTPSERVER的IPADDRESS2FILENAM这是BOOTFILE的FILENAME。这样DHCPCLIENT如果设定使用网络开机的时候，他就知道拿完IP之后，要去找哪一台TFTPSERVER来DOWNLOADBOOTFILE进行开机。在SSG5中，你在设定DHCP的时候，只要指定上述两个数值即可让你的SSG5支持网络开机。设定方法如下请登入SSG5的WEB管理接口，点选左边的“NETWORK“DHCP“然后在右边的页面中，选择要设定的INTERFACE，点选CONFIGURE字段中的EDIT。请选择设定为DHCPSERVER，并设定NEXTSERVERIP，这里选择FROMINPUT并输入IP。接着点选右下角的CUSTOMOPTIONS，进入CUSTOMOPTIONS设定页面。再点选右上角的“NEW“，在CODE输入67，TYPE选择STRING，VALUE中输入BOOTFILE的FILENAME。这样就完成设定，接着你就可以测试看看。PS如果你的FIRMWAREVERSION630R40FIREWALLVPN，会遇到带出的BOOTFILE的FILENAME多了一个怪怪符号，目前看来是这一版的BUG。SSG5三十天就上手DAY13SSG5管理员帐号和密码前面讲了SSG5的功能如何设定，接下来要跟大家讲解最基本的安全问题，那就是SSG5的管理员帐号和密码。SSG5的预设管理员帐号和密码为NETSCREEN/NETSCREEN，如果要修改可以通过CONSOLE接口进行修改，如果手上没有CONSOLE的线，也可以通过下列方式。当拿到一台新的SSG5或是将SSG5RESET到原厂设定值的时候，它预设会将ETH0/2ETH0/6设定为一个BGROUP0，并且会当DHCPSERVER配发IP，该BGROUP0的IP会设定为19216811。可以将你的计算机连接到该BGROUP0的PORT，取得IP之后，透过TELNET进入CONSOLE。进入CONSOLE后，先用预设帐号和密码登入。登入后先利用下列指令修改管理员的帐号名称。SETADMINNAME“管理员帐号“接这SSG5会提示时已将密码设定为NETSCREEN，并建议你立即修改密码，再利用下列指令修改管理员的密码。SETADMINPASSWORD“管理员密码“这样就完成了修改管理员帐号和密码的工作。SSG5三十天就上手DAY14SSG5变更管理PORTSSG5预设的HTTP管理WEB是通过80端口。假设你的INTERFACEIP为19216811，预设开启WEB管理时可以通过HTTP/19216811来进行管理，如果你把端口变更为5522，你则需用下列方式连接HTTP/192168115522变更登录方式为请登入SSG5的WEB管理接口，点选左边的“CONFIGURATION“ADMIN“MANAGEMENT“，然后在HTTPPORT字段输入你的PORT，如5522。SSG5三十天就上手DAY15SSG5EVENTLOG通过SSG5的EVENTLOG可以让你知道你的SSG5发生了什么事情。比如SSG5本身产的讯息或是ALARMS等等。在SSG5将EVENTLOG分为下列LEVELALERT这个信息是需要马上被注意的，如防火墙遭到攻击。CRITICAL这个信息是有可能会影响运作或是功能，如HAHIGHAVAILABILITY状态改变。ERROR这个信息是SSG5发生错误且可能造成运作上或是功能上的错误，如连上SSHSERVERSWARNING这个信息是SSG5发生了会影响功能方面的事件，如认证失败。NOTIFICATION这是发生一般正常的事件，给予管理这常态的通知，如管理人员变更网络参数设定，是否需开通上网功能。DEBUGGING这是提供详细的信息让你用来做DEBUG用途。你可以登入SSG5的WEB管理页面，并在“REPORTS“SYSTEMLOG“EVENT“查看SSG5的EVENTLOG。SSG5三十天就上手DAY16SSG5SENDINGEMAILALERTS身为一位网络工程师人员，每天看LOG可以说是天命。但是天天进系统看LOG实在会累死人，尤其是当你可以能会用十几台SSG5的时候。这个时候当然是要叫SSG5每天自动把ALARM用EMAIL寄给你设定的方法如下登入SSG5的WEB管理页面，并进入“CONFIGURATION“REPORTSETTINGS“EMAIL“，在右边的页面，你就可以设定下列信息1SMTPSERVERNAME2EMAILADDRESS13EMAILADDRESS2请在SMTPSERVERNAME设定你的MAILSERVER，假设我的MAILSERVER为19216817125，那就将19216817125输入到SMTPSERVERNAME的字段。当然如果你有将SSG5DNSENABLE，你就可以使用HOSTNAME如MAIL126COM。接着在EMAILADDRESS的字段输入要被通知的网络工程师的邮箱。如WHITEROSE1989AT126COM然后按下APPLY即可。PS当然你要将ENABLEEMAILNOTIFICATIONFORALARMS勾选，另外还可以选择INCLUDETRAFFICLOG。SSG5三十天就上手DAY17SSG5HOWTOSETUPRADIUSSERVERSSG5可以让你设定外部的RADIUSSERVER来进行认证的工作，假设你有一台FREERADIUS，已经安装好，IP为19216819118，监听的端口为1812，且设定SHAREDSECRET为ITHOME。你只要进行下列设定，就可以让你的SSG5可以使用这台RADIUS进行认证。登入SSG5的WEB管理页面，并进入“CONFIGURATION“AUTH“AUTHSERVERS“，在右边的页面右上方，点选NEW，你就可以设定下列信息NAME输入你要为这台SERVER取的名称，假设我们取为RADIUS。IP/DOMAINNAME输入这台SERVER的IP19216819118ACCOUNTTYPE由于我们想要用在认证，所以勾选AUTHRADIUSPORT输入1812，SHAREDSECRET输入ITHOME，接着按下OK，这样你的AUTHSERVER就设定完成。SSG5三十天就上手DAY18SSG5如何利用RADIUSSERVER控制上网权限通常公司都会管控公司网络的上网权限，避免有人可以来乱上网。在SSG5可以轻松做到对上网进行权限管控。在DAY5我们有介绍过SSG5SECURITYZONES，假设你将你的LAN放在TRUST的ZONE，把上网的线路，放在UNTRUST的ZONE。在DAY8我们有介绍过POLICIES，你可以通过POLICIES来控制两个ZONE之间的TRAFFIC。我们可以通过POLICIES中的进阶设定，设定我们在DAY16所设定完成的RADIUS来进行认证，只让认证通过的USER可以上网。设定方法如下请登入你SSG5的WEB管理接口，点选左边的“POLICY“POLICIES“，然后在右边页面中，上方的FROM选择“TRUST“，TO选择“UNTRUST“，然后按下最右边的“NEW“。设定好SOURCEADDRESS跟DESTINATIONADDRESS，此范例中都选择ANY，SERVICE也选择ANY。接着按下“ADVANCED“进入进阶设定页面，勾选“AUTHENTICATION“，并选择我们设定好的RADIUSSERVER。按下OK，这样你就可以通过RADIUSSERVER控制上网权限。SSG5三十天就上手DAY19SSG5如何CREATINGASECONDARYIPADDRESS让你的INTERFACE挂多个IP。有些情况，你会需要让你的INTERFACE挂两个IP，一个挂外面PUBLICIP，另一个挂里面的PRIVATEIP。这个时候你就可以利用SSG5SECONDARYIPADDRESS的功能，设定方法如下请登入你SSG5的WEB管理接口，点选左边的“NETWORK“INTERFACES“，然后在右边页面中，对于您要编辑的INTERFACE按下EDIT。在EDIT的页面中，上面LINK会有一个SECONDARYIP，点下LINK后，进入SECONDARYIP编辑页面，按下ADD，输入IP跟NETMASK入下IPADDRESS/NETMASK19216821/24。这样SSG5就可以在一个INTERFACE挂两个IP。SSG5三十天就上手DAY20SSG5SIMPLENETWORKMANAGEMENTPROTOCOL（SNMP）SSG5也支持SNMP，你可以通过SNMP监控SSG5的状态，如CPU或流量等等，很多范例都是通过CACTI来抓SSG5SNMP，由CACTI了解SSG5使用状态。如果你要让CACTI可以利用SNMP抓取SSG5状态，你需要先对SSG5进行设定，设定的方式如下请登入你SSG5的WEB管理接口，点选左边的“CONFIGURATION“REPORTSETTINGS“SNMP“，然后在右边页面中按下右上角的NEWCOMMUNITY，然后设定你的COMMUNITYNAME，如POBLIC，勾选你的PERMISSIONS，默认值是全部勾选，然后选择支持的VERSION。最后设定HOSTSIPADDRESS跟NETMASK，此设定需要将你CACTI的主机包含进去。然后选择此设定的SOURCEINTERFACE，这样你就可以通过SNMP抓取SSG5的状态。SSG5三十天就上手DAY21SSG5ADDRESSGROUPS假设你在设定POLICY的时候，希望可以设定严格一点，比如说SOURCEADDRESS不想要用ANY，但是你可能又有一堆ADDRESS需要设定进去，这个时候你就可以利用SSG5的ADDRESSGROUPS。设定方法如下请登入您SSG5的WEB管理接口，点选左边的“POLICY“POLICYELEMENTS“ADDRESSES“GROUPS“，然后在右边页面中左上方选择要新增的ZONE之后按下右上角的NEW，然后设定你的GROUPNAME，如MYNETWORK，接着将你的ADDRESS由右边拉到左边，然后按下OK即可。如果在上列步骤没有你要的ADDRESS可以选择，那就到“POLICY“POLICYELEMENTS“ADDRESSES“LIST“中，然后在右边页面中左上方选择要新增的ZONE之后按下右上角的NEW，然后设定你的ADDRESS即可。SSG5三十天就上手DAY22SSG5DESTINATIONSTATICROUTING为了让你的SSG5知道要让封包走哪一条路，最简单的方式，就是在SSG5上面设定DESTINATIONSTATICROUTING，让他知道这个目的地的地址，要走哪一条路。设定的方法如下请登入您SSG5的WEB管理接口，点选左边的“NETWORK“ROUTING“DESTINATION“，然后在右边页面中右上角的NEW，最简单的方式，就是设定NEXTHOP为GATEWAY的方式，当然在IPADDRESS/NETMASK要设定目的地的IP如19216810/24，NEXTHOP挑选GATEWAY，并选择INTERFACE以及设定GATEWAYIPADDRESS，如ETH0/2与19216831通常这个时候代表19216831这台会知道接下来怎么走到19216810/24。这样最简单的DESTINATIONSTATICROUTING就设定完成了。SSG5三十天就上手DAY23SSG5SITETOSITEVPN（VIRTUALPRIVATENETWORKS）SSG5最主要的用途，除了一般做NAT跟ROUTING，另外就是让你拿来建VPN。今天就跟大家介绍如何在SSG5上建立SITETOSITEVPN。在SSG5只需要简单三步骤步骤一建立VPNGATEWAY，让你的SSG5知道要跟谁建VPN。步骤二建立VPNTUNNELINTERFACE，让你的VPN有一条隧道可以走。步骤三建立VPN以下步骤请先登入您SSG5的WEB管理接口，后进行操作，此范例假设我们两个端点都是STATICIPADDRESS。建立VPNGATEWAY点选“VPNS“AUTOKEYADVANCED“GATEWAY“，然后按下右上角的NEW，设定GATEWAYNAME，设定STATICIPADDRESS，按下ADVANCED，进入进阶设定页面。设定PRESHAREDKEY，请注意PRESHAREDKEY两个端点要设定相同，选择OUTGOINGINTERFACE，一般就是你上网的那个INTERFACE。按下下RETURN回到设定页面后，再按下OK。建立VPNTUNNELINTERFACE点选“NETWORK“INTERFACES“LIST“，右上角选择TUNNELIF后按下NEW，设定TUNNELINTERFACENAME可以挑选110，设定ZONE，选择UNNUMBERED假设我们TUNNELINTERFACE不设IP，接着按下OK。建立VPN点选“VPNS“AUTOKEYIKE“，然后按下右上角的NEW，设定VPNNAME，REMOTEGATEWAY选择PREDEFINED然后选择你在第一步骤中设定的GATEWAY，按下ADVANCED，进入进阶设定页面。BINDTO请选择TUNNELINTERFACE，并选择你在第二步骤中新增的TUNNELINTERFACE。按下下RETURN回到设定页面后，再按下OK。将你的两个端点依上列三个步骤执行后，大致上你的VPN就已经没有问题，不过因为没有封包，接着你就设定你的ROUTING，设置你的SSG5路由怎么走，封包来时VPN就会帮你UP。SSG5三十天就上手DAY24SSG5VPNOPTIONS如果你看完DAY23，那你已经知道如何在SSG5设定VPN，当然接下来你会希望，可以让SSG5监控你的VPN状态。通常我会建议你可以设定下列两个选项为ENABLEVPNMONITOR和REKEY。你可以在昨天的步骤三建立的时候，在ADVANCED的设定页面中，将上列两个选项打勾。当你勾选了VPNMONITOR，SSG5会帮你用PING来监控，此时你就可以在VPNMONITOR的页面中查看VPN的状态。另外当你勾选了REKEY，SSG5就会立即帮你送出ICMPECHOREQUESTS。所以当你在昨天的第三步骤勾选这两个选项后，你就会发现VPN设定完后马上就会UP。SSG5三十天就上手DAY25SSG5VPNDEBUGPHASE1RETRANSMISSIONLIMITHASBEENREACHED一般如果你按照VPN三步骤建好VPN之后，通常不会有什么问题，不过总是会有粗心大意的时候，在这里就分享一个案例。一般如果VPN建不起来，建议都先去看看SSG5的EVENTLOG，看看SSG5告诉你发生什么事。此案例中，SSG5LOG写说PHASE1RETRANSMISSIONLIMITHASBEENREACHED这边遇到这个问题大多会想说两端点是不是有通，曾经我就遇到过，两边都互相PING的到，设定也都没有错，可是就是建不起来。最后才发现，原来如果来回的路走不一样，也会让你建不起来。会来回走不一样的原因是因为有一端的SSG5有多条线路。解法就是调整的ROUTING，确保来回路都走一样，就可以解决这个问题。SSG5三十天就上手DAY26SSG5INTERFACESTATES在SSG5的INTERFACE有下列四个STATESPHYSICALLYUP这是当你的网络CABLE实际让你的SSG5接到一个NETWORKDEVICE如SWITCH或NOTEBOOK，线路正常的状态。LOGICALLYUP你可以在逻辑定义上，让你INTERFACE设为UP，此时TRAFFIC才能通过你的INTERFACE。PHYSICALLYDOWN这是当你的网络CABLE实际让你的SSG5接到一个NETWORKDEVICE如SWITCH或NOTEBOOK，线路断线的状态。LOGICALLYDOWN你可以在逻辑定义上，让你INTERFACE设为DOWN，此时TRAFFIC无法通过你的INTERFACE。SSG5三十天就上手DAY27SSG5OPENSHORTESTPATHFIRST如果有很多SITE，那给个SITE都可以放一台SSG5，你会发现维护你的ROUTING会是很累人的事。尤其当你有两条线路要手动切备援，更是累人。此时建议你就可以ONOSPF，让SSG5帮你自动算ROUTING，要让SSG5ONOSPF只要以下几个简步骤。步骤一，CREATEOSPFINSTANCE步骤二，设定AREA中的INTERFACE步骤三，在INTERFACE中将OSPF设定为ENABLE这样你的SSG5就会启动OSPF。OSPF会依据本身的设定放出的ROUTING，放出让邻居另外一台SSG5学习，每一条连接都有自己的COST，然后他会帮你算出最便宜的路，最后让你的ROUTING走最便宜的路线。SSG5三十天就上手DAY28SSG5OSPFAREASAREASSSG5预设在你启用OSPF的时候，会将所有的ROUTERS群组放入一个单独的“BACKBONE”AREA这个AREA叫做AREA0你会在你的SSG5中看到AREA0000。不过通常如果你的架构中，是一个很大的网络，那你会把他划分为几个小的AREA。在SSG5中，你可以在新增AREA时，设定你的AREATYPE，除了NORMAL，另外两种类型说明如下STUBSTUBAREA接收来自BACKBONEAREA的ROUTESUMMARIES但是不接收来自其它的AREA的LINKSTATE。NOTSOSTUBBYAREANSSA像是一个NORMALSTUBAREA，NSSAS不能接收非本AREA外的OSPF以外的资源。SSG5三十天就上手DAY29SSG5OSPFSECURITYCONFIGURATIONCONFIGURINGANMD5PASSWORD为了避免有人利用OSPF偷偷当你的非法邻居，乱放ROUTING给你学，害你的SITE挂掉，建议你要对你的SSG5的OSPF设定安全性。SSG5可以让你在INTERFACE中设定明码或是MD5编码的密码，在这里建议你选用MD5，他最多可以让你输入16个字符，设定方式如下请登入你SSG5的WEB管理接口。在左边选择“NETWORK“INTERFACES“然后对你要编辑的INTERFACE按下EDIT接着在上方的LINK中点选OSPF进入OSPF设定页面后，挑选MD5的选项，并输入你的KEY与KEYID，最后要选PREFERRED。然后按下APPLY即可。这样没有这定这个KEY的就不能来当邻居啰SSG5三十天就上手DAY30SSG5OSPFNETWORKTYPESSSG5支援下列OSP