系列usg与juniper ns的连接特殊方式netscreen实现gre over ipsec支持动态地址_第1页
系列usg与juniper ns的连接特殊方式netscreen实现gre over ipsec支持动态地址_第2页
系列usg与juniper ns的连接特殊方式netscreen实现gre over ipsec支持动态地址_第3页
已阅读5页,还剩5页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 ( (一)总部端配置一、接口加入 zone,并且放行对应的流USG-erzoneloca erzone-trusttrust- trust-inbound-trust-inbound-eticmpespudp,而且策略必须方向ICMP 与则是后续 如果需要对端可通,则接口必须开启管理,允用。 (Policy 不需要定义 Source,默认为 any,而且策略必须方向ICMP 与则是后续 如果需要对端可通,则接口必须开启管理,允用。 (Policy 不需要定义 Source,默认为 any,也可以规定明细源地址,比如只允许对端但是有时候可能分支是 PPPOEIP 是多少。)地址erzonetr

2、ustuntrustUSG-erzone-trust-untrust-USG-erzone-trust-untrust-outbound- USGike peer 1 2( 说 明 , USG 支 持 2 个 版本,与,如果不指定则是以发起,alUSG-ipsec-al-USGaclnumberUSG-acl-adv-3000rulepermitgresource2.2.2.20destination1.1.1.1USGipsecpolicyl2lUSGipsecpolicyl2l10USG-ipsec-policy-isakmp-l2l-10ike-peer al 【说明:Lo1172.16

3、.1.2 【说明:Lo1172.16.1.2 USGfirewallname gre priority erzonetrust】erface ic0.0.0.00 (二) 分部配置一、接口加入 zone,并且放行对应的流量InsideTrustZone(icmp ,Tunnel NSGW-setikegatewayl2laddress202.100.2.1erfaceeth4NSGW-l2lgatewayl2lsec-levelNSGW-l2lgatewayl2lsec-levelNSGW-setzoneNSGW- set NSGW-setNSGW-erfacetun.1erface tun.

4、1 ip 10.1.1.1/24 erfacetun.1tunnelencapgreerfacetun.1tunnellocal-iflo.1dst-ip流NSGW-NSGW-l2lerfacel2lproxy-idlocal-ip172.16.1.1/32remote-ip流NSGW-NSGW-l2lerfacel2lproxy-idlocal-ip172.16.1.1/32remote-ip172.16.1.2/32NSGW-setpolicyfromtrustanyanyanyNSGW-setpolicytotrustanyanyanyNSGW-setroute0.0.0.0/0gate

5、wayNSGW-setvroutertrust-vrprotocolospfareaNSGW-setvroutertrust-vrprotocolospfNSGW-NSGW-erfacetun.1protocolospfareaerfacetun.1protocolospfNSGW-NSGW-erfacelo.2protocolospfareaerfacelo.2protocolospfUSG USG erzonetrustuntrusterzone-trust-untrust- erzone-trust-untrust-inbound-0policydestination2.2.2.20 e

6、rzone-trust-untrust-inbound-0action permit注意总1、双方的路由问题(去往对方私网路由,和自己私网路由都需要检查2、NS 策略【在这个环境下,因为策略 Zone 定义不同,所与ernet不】3、USG 的策略,Trust 到 Untrust,Untrust 到 Trust,Untrust 到 Local 的流量4、NAT 问题(这个环境不存在5、双方策略必须匹6、USG 接口可以开,可以测试连通性,如果不开启的话,这个很容易被忽到到五、NS这里为 来传递路由网络,所以不需要感流量。到到五、NS这里为 来传递路由网络,所以不需要感流量。 以很容易超过 1500,所以修改 1476。ESPooDPD service0protocoludpdestination-portUSG-(这 service0protocoludpdestination-portUSG-(这erzoneloca erzone-trusttrust-inbound-0policy servi是定义的 servcie-set,默认不存在的,等于放行 UDP 50

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论