SSG5三十天就上手-Day 1 SSG5 是什麼？

       要學SSG5之前，當然是要先知道什麼是SSG5，本篇文章，會先對SSG5作簡單的介紹讓大家知道SSG5是什麼? 它有哪些功能? 以及如何運用它？

?
Juniper SSG-5（基本型）引數細節（2007.07上市）
基本規格
防火牆型別：企業級防火牆
網路吞吐量：160Mbps
併發連線數：4000
主要功能：地址轉換,防火牆,統一威脅管理/ 內容安全,VoIP 安全性,vpn,防火牆和VPN 使用者驗證,路由,封裝,流量管理（QoS）,系統管理,日誌記錄和監視
網路
網 絡管理：系統管理,NetIQ WebTrends,SNMP (v2),SNMP full custom MIB,console,telne,SSH,NetScreen-Security Manager,All management via VPN tunnel on any interface,Rapid deployment
埠型別：7x 10/100,廣域網：出廠

配置的RS232 Serial/AUX或 ISDN BRI S/T 或 V.92
安全性
過濾頻寬：40Mbps
人數限制：無使用者數限制
入侵檢測：Dos，DDoS
安全標準：CSA，CB
埠引數
控制埠：console
電氣規格
電源電壓：100~240 VAC
外觀引數
產品質量：0.59kg
長度(mm)：143
寬度(mm)：222
高度(mm)：41
環境引數
工作溫度：0~40
工作溼度：10% - 90%，非冷凝
儲存溫度：-20~ 65℃
儲存溼度：10% - 90%，非冷凝

企業用途
       一般網路工程師最頭痛的莫過於受到外部網路的攻擊，有了SSG5 讓你的外網可以搭建簡單而又不失安全性。

       如果公司有一條與外線相連，通過SSG5可以輕輕鬆鬆幫你建立 site to site 的VPN。
SSG5三十天就上手-Day 2 SSG5 如何還原到出廠設定值。

方法一：在 SSG5的後面有一個Reset 的針孔，如果今天只是要跟你說用針插一下這個孔，那我就略掉了。當然它絕對不是你所想得這麼簡單，要使用Reset 重啟按鈕，你需要對該針孔插兩次針，且不是隨便插，你必須配合它的燈號，第一次插大約4秒不動，然後燈號變成一紅一綠，在將針拔出間隔約1秒之後，再將針 插入約4秒，如此才能完成Reset 操作。

方法二：Console Reset：需要連到SSG5的Console 線一根，它是一端為Com port 另一端為RJ45，跟Cisco Switch 用的線一樣。將線連線到SSG5的Console port 後，使用超級終端連線SSG5，然後帳號密碼都輸入SSG5背後貼紙的序號。接著按下兩次Y，如此你就可以還原到原廠設定值。還原後的SSG5預設帳號和 密碼都為netscreen。
SSG5三十天就上手-Day 3 SSG5 如何進行備份與還原。

      一般如果有兩臺SSG5要互相替換，當然最佳的方法是做HA ，可惜在沒有錢的IT界，一定是一臺SSG5來當很多臺的Backup，此時如果線上的SSG5掛了，如何讓你Backup的SSG5，可以快速還原就非常重要！
第一、平時要對你線上的SSG5進行Config的 Backup，請登入你SSG5的Web頁面，在左邊的選單中，進入 <Configuration> --> <Update>
然後在右邊畫面中，點選 <Save To File>   如此就能Backup 你的 Configuration。
第 二、進行快速還原，請登入你Backup的SSG5的Web頁面，在左邊的選項中，進入 <Configuration> --> <Update>，在右邊畫面中Upload Configuration to Device 選擇 Replace Current Configuration ，並按下<瀏覽> 選擇出第一步驟中所備份出 file。
SSG5三十天就上手-Day 4 SSG5 如何進行軟體更新。
新版軟體會幫你解決一些舊版的bug 之外，還會進行功能的改進，因此對SSG5進行軟體升級就變成你必備的技能。
下載軟體
你可以拿你SSG5的序列號，到Juniper 的網頁，註冊一個賬號，註冊後你可以download 新版 SSG5 的軟體。
更新軟體
準 備好軟體檔案後，登入你的SSG5的Web頁面，在左邊的選單中，進入 <Configuration> --> <Update>--> <ScreenOS/Keys>，在右邊畫面中選擇 Firmware Update (ScreenOS) ，並按下<瀏覽> 選擇出第一步驟中所備出 file。接著就等SSG5更新完畢！
SSG5三十天就上手-Day 5 SSG5 Security Zones
Security Zones-安全區設定
你可以通過 Security Zones 將你的SSG5 切個為多個安全區域，在SSG5中預設會有下列Zones：
Null
Trust
Untrust
Self
Global
HA
MGT
Untrust-Tun
V1-Null
V1-Trust
V1-Untrust
DMZ
V1-DMZ
VLAN
其中建議你最少要使用兩個Security Zones將你的網路進行區隔。在預設值中會將ethernet0/0放到Untrust，ethernet0/1放到DMZ，其它放到Trust。假設你只有一條對外線，建議你將該線路放到 ethernet0/0 (Untrust)，內部就放到Trust。然後再設定SSG5的 Policy 來保護內部網路。
SSG5三十天就上手-Day 6 SSG5 Interface
Interface 是SSG5中實際封包進出的出入口，經由Interface 讓封包來進出security zone。為了讓網路封包能夠進出security zone，你必須將bind 一個interface到該security zone，如果你要讓兩個security zone互通封包時，你就必須設定 policies (就像是iptables)。
你可以把多個Interface bind到同一個security zone，但是一個 Interface只能被bind 到一個security zone，也就是說Interface 跟 security zone 是多對一的關係。
Interface Types
Physical Interfaces
這就是你SSG5中的實體網路 port ，你可以對照SSG5機體上的編號：eth0/0 ~ eth0/6 共有七個網路 port
Bridge Group Interfaces
Subinterfaces
Aggregate Interfaces
Redundant Interfaces
Virtual Security Interfaces
SSG5三十天就上手-Day 7 SSG5 Interface Modes
在SSG5 Interface 可以以下列幾種方式運作：
Transparent Mode
NAT(Network Address Translation) Mode
Route Mode
Interface 被bind 在 Layer 3 且有設定 IP 時可以選擇使用 NAT 或 Route方式運作。
Interface 被bind 在 Layer 2的Zone 時，Interface 需以Transparent 方式運作。
Transparent Mode：當Interface 在此模式時， IP address 會設定為0.0.0.0，此時SSG5不會對於封包中的source 或destination資訊做任何的修改。SSG5此時就像扮演 Layer 2 switch 或 bridge。
NAT Mode：此時你的SSG5就像扮演 Layer 3 Switch 或是 Router，會對封包進行轉譯(translates)，他會換掉流向 Untrust zone 封包的 Source IP 跟 Port。
Route Mode：當SSG5的Interface在此模式時，防火牆不會對於兩個不同zone之間的封包做Source NAT。
SSG5三十天就上手-Day 8 SSG5 Policies
Policies 你可以將它想成 iptables
在SSG5中，預設會將跨security zone的封包(interzone traffic) deny ，bind 在同一個zone的interface 的封包(intrazone traffic)預設為allow
如果你需要對以上預設行為進行調整，那你就必須透過 Policies來進行。
Policies 由下列基本元素所組成：
Direction：這是指封包的流向從 source zone 流向 destination zone
Source Address：這是封包起始的地址
Destination Address：這是封包要送到的地址
Service：這是封包的服務種類，如DNS、http等等
Action ：這是當收到封包滿足此Polices時要進行的動作。

舉例來說：假設你要設定任何地址都可以由Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server，則你的基本policies元素如下：
Direction: 從Trust 到 Untrust
Source Address: any
Destination Address: 10.0.0.1
Service: ftp (File Transfer Protocol)
Action: permit
Three Types of Policies
你可以通過下列三種型態的Policies 來控制您的封包：
Interzone Policies—控制一般Zone與zone之間的封包。
Intrazone Policies—控制同一Zone之間的封包
Global Policies—套用到所有zone
SSG5三十天就上手-Day 9 SSG5 Domain Name System (DNS) Support
SSG5 也支援DNS，讓你可以通過DNS Name 來找到 IP Address。在你要使用DNS之前，你需要先在你的SSG5 上設定DNS Server。
假設你的DNS Server的 IP 為 192.168.1.2 跟 192.168.1.3 ，並且你要將DNS 設定為每天晚上11 點 refresh。
請登入你SSG5的web 頁面，點選左邊的 "Network" ==>"DNS" ==>"Host" 然後在右邊的頁面中，輸入下列之資訊：
Primary DNS Server: 192.168.1.2
Secondary DNS Server: 192.168.1.3
DNS Refresh: (請勾選) 並手動在Every Day at:欄位上輸入 23:00 ，然後按下Apply ，這樣你SSG5 的 DNS 就設定完成了。
SSG5三十天就上手-Day 10 SSG5 DHCP（Dynamic Host Configuration Protocol）Support
DHCP (Dynamic Host Configuration Protocol) 可以用來讓網路中的計算機自動獲取IP 。通過DHCP 可以讓網路工程師對網路中的計算機設定更容易。SSG5 在DHCP 中可以辦演下列角色：

DHCP Client：可以通過網路中的DHCP Server 取得所配發的 IP 。

DHCP Server：可以在網路中配發IP 給 DHCP Client。

DHCP Relay Agent：負責接收網路中的 DHCP Client 要求 IP 的封包，並轉給(relay)給指定的DHCP Server，必取得Server 所配IP之訊後，轉回給 Client。

要在SSG5 中設定 DHCP ，請登入 SSG5 的 web 管理介面，點選左的 "Network" ==>"DHCP" 然後在右邊的頁面中，選擇要設定的Interface ，點選 Configure 欄位中的 edit。如此就可以設定DHCP 相關資訊。

當你的Interface 為Down 或 ip 設定為 0.0.0.0/0(就是沒設ip) ，你只能選擇 DHCP Client。其它你可以在上述中的三個角色三選一。
若選擇DHCP Relay Agent，接著設定Relay Agent Server IP 或 Domain Name。
若選擇DHCP Server，接著設定DHCP Server 其它相關設定：
Server Mode->可選擇Auto (Probing)、Enable、Disable 一般會選擇Enable
Lease ->預設為Unlimited
接著 Gateway Netmask DNS WINS 等相關資訊即可。
SSG5三十天就上手-Day 11 SSG5 Setup PPPoE（Point-to-Point Protocol over Ethernet）
如 果公司的外線沒有固定IP，那大多會使用(大多是ADSL)PPPoE 撥號上網。SSG5 對 PPPoE 的支援也沒有問題，在SSG5 的預設值中，通常會將 eth0/0 設定在Untrust 的 Zone ，並使用 eth0/0 來當做對外線路，所以這裡也建議你可以利用eth0/0來設定PPPoE的撥號上網。
Setting Up PPPoE  請登入 SSG5 的 web 管理介面，點選左邊的 "Network"= > "Interfaces" ，然後在右邊的頁面，對eth0/0點選"Edit"，進入編輯頁面後，點選"Obtain IP using PPPoE"，並接著在選項後面有一個 Link (Create new pppoe setting ) 可以讓您點選並Create 你的PPPoE的 Profile，或者你已經是前就先Create後，也可以直接在選項後直接使用下拉選單挑選事先Create 好的 PPPoE Porfile。
Create PPPoE Profile 請 登入 SSG5 的 web 管理介面，點選左邊的 "Network"= > "PPP" =>"PPPoE Profile" ，然後在右邊的頁面右上方，按下"New"的按鈕，接著設定PPPoE Instance (這是這個Profile的名子)、接著輸入從ISP那邊拿來的帳號密碼。這樣你的SSG5就可以使用PPPoE撥號上網了。
SSG5三十天就上手-Day 12 SSG5 Setup Network Boot （SSG5支援網路開機）
當 你的環境中，可以網路開機時候，你可以讓SSG5 也支援這樣的設定。一般如果你要讓network boot 可以正常work ，你必須在你的DHCP Server中，設定兩個專案：1.next-server ：這個 IP 是TFTP server的 IP address   2.filenam： 這是Bootfile 的 file name 。這樣DHCP Client 如果設定使用網路開機的時候，他就知道拿完IP之後，要去找哪一臺 TFTP Server 來download bootfile進行開機。在SSG5中，你在設定DHCP的時候，只要指定上述兩個數值即可讓你的SSG5支援網路開機。設定方法如下：
請登入 SSG5 的 web 管理介面，點選左邊的 "Network" ==>"DHCP" 然後在右邊的頁面中，選擇要設定的Interface ，點選 Configure 欄位中的 edit。請選擇設定為DHCP Server，並設定 Next Server Ip ，這裡選擇From Input 並輸入 IP。 接著點選右下角的Custom Options，進入 Custom Options 設定頁面。再點選右上角的"New"，在code 輸入 67，type選擇 string，value中輸入bootfile的 file name 。這樣就完成設定，接著你就可以測試看看。

PS: 如果你的 Firmware Version: 6.3.0r4.0 (Firewall+VPN) ，會遇到帶出的bootfile 的 filename 多了一個怪怪符號，目前看來是這一版的bug。
SSG5三十天就上手-Day 13 SSG5 管理員帳號和密碼
前 面講了SSG5 的功能如何設定，接下來要跟大家講解最基本的安全問題，那就是SSG5的管理員帳號和密碼。SSG5的預設管理員帳號和密碼為 netscreen/netscreen，如果要修改可以通過console介面進行修改，如果手上沒有console的線，也可以通過下列方式。
當 拿到一臺新的SSG5或是將SSG5 reset 到原廠設定值的時候，它預設會將 eth0/2~eth0/6 設定為一個bgroup0，並且會當DHCP Server配發 IP，該bgroup0的IP會設定為 192.168.1.1。可以將你的計算機連線到該bgroup0的port，取得 IP 之後，透過Telnet 進入Console。

進入Console後，先用預設帳號和密碼登入。登入後先利用下列指令修改管理員的帳號名稱。
?
set admin name "管理員帳號"

接這SSG5會提示時已將密碼設定為netscreen，並建議你立即修改密碼，再利用下列指令修改管理員的密碼。
?
set admin password "管理員密碼" 這樣就完成了修改管理員帳號和密碼的工作。
SSG5三十天就上手-Day 14 SSG5 變更管理port
SSG5預設的http管理web是通過80埠。假設你的interface ip 為 192.168.1.1 ，預設開啟web 管理時可以通過http://192.168.1.1 來進行管理，如果你把埠變更為5522，你則需用下列方式連線：http://192.168.1.1:5522     變更登入方式為：請登入 SSG5 的 web 管理介面，點選左邊的 "Configuration" ==>"Admin"==>"Management"，然後在HTTP Port 欄位輸入你的port ，如5522。
SSG5三十天就上手-Day 15 SSG5 Event Log
通過SSG5 的Event Log可以讓你知道你的SSG5發生了什麼事情。比如SSG5本身產的訊息或是alarms等等。
在SSG5將Event Log分為下列Level：
[Alert]: 這個資訊是需要馬上被注意的，如防火牆遭到攻擊。
[Critical]: 這個資訊是有可能會影響運作或是功能，如HA (High Availability)狀態改變。
[Error]: 這個資訊是SSG5發生錯誤且可能造成運作上或是功能上的錯誤，如連上SSH Servers.
[Warning]: 這個資訊是SSG5發生了會影響功能方面的事件，如認證失敗。
[Notification]: 這是發生一般正常的事件，給予管理這常態的通知，如管理人員變更網路引數設定，是否需開通上網功能。
[Debugging]: 這是提供詳細的資訊讓你用來做debug用途。

你可以登入 SSG5 的web管理頁面，並在 "Reports" => "System Log" => "Event" 檢視 SSG5的 Event Log。
SSG5三十天就上手-Day 16 SSG5 Sending Email Alerts
身為一位網路工程師人員，每天看Log可以說是天命。但是天天進系統看Log實在會累死人，尤其是當你可以能會用十幾臺SSG5的時候。

這個時候當然是要叫SSG5 每天自動把 alarm 用e-mail 寄給你！設定的方法如下：
登入 SSG5 的web管理頁面，並進入 "Configuration" => "Report Settings" => "Email" ，在右邊的頁面，你就可以設定下列資訊：
1.SMTP Server Name
2.E-mail Address 1
3.E-mail Address 2
請 在 SMTP Server Name設定你的mail server，假設我的mail server為 192.168.171.25，那就將192.168.171.25輸入到SMTP Server Name的欄位。當然如果你有將SSG5 DNS enable，你就可以使用hostname(如mail.126.com)。
接著在E-mail Address 的欄位輸入要被通知的網路工程師的郵箱。如 WhiteRose1989 At 126.com 然後按下Apply即可。

PS:當然你要將Enable E-mail Notification for Alarms 勾選，另外還可以選擇Include Traffic Log。
SSG5三十天就上手-Day 17 SSG5 How to setup Radius Server
SSG5 可以讓你設定外部的 Radius Server 來進行認證的工作，假設你有一臺 freeradius ，已經安裝好， IP 為 192.168.191.18，監聽的埠為：1812，且設定Shared Secret為 ithome。你只要進行下列設定，就可以讓你的SSG5可以使用這臺Radius 進行認證。
登入 SSG5 的web管理頁面，並進入 "Configuration" => "Auth" => "Auth Servers " ，在右邊的頁面右上方，點選NEW，你就可以設定下列資訊：Name 輸入你要為這臺Server取的名稱，假設我們取為 Radius。IP/Domain Name 輸入這臺Server的 IP 192.168.191.18
Account Type 由於我們想要用在認證，所以勾選AuthRADIUS Port 輸入1812 ，Shared Secret 輸入ithome，接著按下OK ，這樣你的 Auth Server 就設定完成。
SSG5三十天就上手-Day 18 SSG5 如何利用 Radius Server 控制上網許可權
通 常公司都會管控公司網路的上網許可權，避免有人可以來亂上網。在SSG5可以輕鬆做到對上網進行許可權管控。在Day 5我們有介紹過SSG5 Security Zones，假設你將你的LAN放在Trust 的Zone，把上網的線路，放在Untrust的Zone。在Day 8 我們有介紹過Policies ，你可以通過Policies 來控制兩個Zone之間的traffic。我們可以通過Policies 中的進階設定，設定我們在Day 16 所設定完成的Radius來進行認證，只讓認證通過的user可以上網。設定方法如下：
請登入你SSG5 的 web 管理介面，點選左邊的 "Policy" ==>"Policies" ，然後在右邊頁面中，上方的From選擇"Trust"，To選擇 "Untrust"，然後按下最右邊的 "New"。設定好 Source Address 跟 Destination Address ，此範例中都選擇 Any ，Service也選擇 Any。接著按下"Advanced"進入進階設定頁面，勾選"Authentication"，並選擇我們設定好的Radius Server。按下OK ，這樣你就可以通過Radius Server控制上網許可權。
SSG5三十天就上手-Day 19 SSG5 如何 Creating a Secondary IP Address
讓 你的Interface 掛多個IP 。有些情況，你會需要讓你的 Interface掛兩個 IP ，一個掛外面 public ip，另一個掛裡面的private ip。這個時候你就可以利用SSG5 Secondary IP Address的功能，設定方法如下：

請登入你SSG5的 web 管理介面，點選左邊的 "Network" ==>"Interfaces"，然後在右邊頁面中，對於您要編輯的interface按下edit。
在edit的頁面中，上面link 會有一個 Secondary IP，點下 Link後，進入Secondary IP編輯頁面，按下Add，輸入IP跟Netmask入下：
IP Address/Netmask: 192.168.2.1/24 。這樣SSG5 就可以在一個interface 掛兩個 IP 。
SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol（SNMP）
SSG5 也支援SNMP，你可以通過SNMP 監控SSG5的狀態，如CPU或流量等等，很多範例都是通過Cacti來抓SSG5 SNMP ，由Cacti瞭解SSG5使用狀態。如果你要讓Cacti可以利用SNMP抓取SSG5狀態，你需要先對SSG5進行設定，設定的方式如下：
請 登入你SSG5的web 管理介面，點選左邊的 "Configuration " ==>"Report Settings"==>"SNMP"，然後在右邊頁面中按下右上角的 New Community ，然後設定你的 Community Name，如 poblic，勾選你的 Permissions，預設值是全部勾選，然後選擇支援的Version。最後設定 Hosts IP Address 跟 Netmask，此設定需要將你Cacti的主機包含進去。然後選擇此設定的 Source Interface，這樣你就可以通過SNMP抓取SSG5的狀態。
SSG5三十天就上手-Day 21 SSG5 Address Groups
假設你在設定Policy 的時候，希望可以設定嚴格一點，比如說source address不想要用any，但是你可能又有一堆address 需要設定進去，這個時候你就可以利用SSG5的 address groups。設定方法如下：
請 登入您SSG5的 web 管理介面，點選左邊的 "Policy" ==>"Policy Elements"==>"Addresses"==>"Groups"，然後在右邊頁面中左上方選擇要新增的Zone之後按下右上角的 New ，然後設定你的Group Name，如 My Network，接著將你的address由右邊拉到左邊，然後按下OK即可。如果在上列步驟沒有你要的address可以選擇，那就到"Policy" ==>"Policy Elements"==>"Addresses"==>"List"中，然後在右邊頁面中左上方選擇要新增的Zone之後按下右上角的 New ，然後設定你的 address即可。
SSG5三十天就上手-Day 22 SSG5 Destination Static Routing
為了讓你的SSG5知道要讓封包走哪一條路，最簡單的方式，就是在SSG5上面設定 Destination Static Routing，讓他知道這個目的地的地址，要走哪一條路。設定的方法如下：
請 登入您SSG5的 web 管理介面，點選左邊的 "Network" ==>"Routing "==>" Destination"，然後在右邊頁面中右上角的 New ，最簡單的方式，就是設定Next Hop為 Gateway 的方式，當然在 IP Address/Netmask要設定目的地的 IP如 192.168.1.0/24，Next Hop挑選Gateway，並選擇 Interface以及設定Gateway IP Address，如 eth0/2 與 192.168.3.1 (通常這個時候代表 192.168.3.1 這臺會知道接下來怎麼走到 192.168.1.0/24)。這樣最簡單的 Destination Static Routing就設定完成了。
SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN（Virtual Private Networks ）
SSG5 最主要的用途，除了一般做NAT跟Routing，另外就是讓你拿來建 VPN 。今天就跟大家介紹如何在SSG5上建立 Site-to-Site VPN。

在SSG5 只需要簡單三步驟：

步驟一：建立VPN Gateway，讓你的SSG5知道要跟誰建VPN。
步驟二：建立VPN Tunnel Interface，讓你的VPN有一條隧道可以走。
步驟三：建立VPN

以下步驟請先登入您SSG5的 web 管理介面，後進行操作，此範例假設我們兩個端點都是Static IP Address。

建立VPN Gateway：

點選"VPNs" ==> "AutoKey Advanced" ==> "Gateway"，然後按下右上角的New，設定Gateway Name，設定Static IP Address，按下Advanced，進入進階設定頁面。

設定Preshared Key，請注意Preshared Key兩個端點要設定相同，選擇Outgoing Interface，一般就是你上網的那個Interface。按下下Return回到設定頁面後，再按下OK。

建立VPN Tunnel Interface：

點選"Network" ==> "Interfaces" ==> "List"，右上角選擇Tunnel IF 後按下New，設定Tunnel Interface Name可以挑選(1~10) ，設定Zone，選擇Unnumbered(假設我們Tunnel Interface 不設IP)，接著按下OK。

建立VPN：

點選"VPNs" ==> "AutoKey IKE"，然後按下右上角的New，設定VPN Name，Remote Gateway 選擇Predefined 然後選擇你在第一步驟中設定的Gateway，按下Advanced，進入進階設定頁面。Bind to請選擇Tunnel Interface，並選擇你在第二步驟中新增的Tunnel Interface。按下下Return回到設定頁面後，再按下OK。將你的兩個端點依上列三個步驟執行後，大致上你的VPN就已經沒有問題，不過因為沒 有封包，接著你就設定你的Routing，設定你的SSG5 路由怎麼走，封包來時VPN就會幫你UP。
SSG5三十天就上手-Day 24 SSG5 VPN Options
如 果你看完Day 23，那你已經知道如何在SSG5 設定VPN ，當然接下來你會希望，可以讓SSG5 監控你的VPN 狀態。通常我會建議你可以設定下列兩個選項為enable：VPN Monitor  和 Rekey 。你可以在昨天的步驟三建立的時候，在Advanced 的設定頁面中，將上列兩個選項打勾。當你勾選了 VPN Monitor ，SSG5 會幫你用 ping 來監控，此時你就可以在VPN Monitor的頁面中檢視VPN的狀態。
另外當你勾選了 Rekey，SSG5就會立即幫你送出 ICMP echo requests。所以當你在昨天的第三步驟勾選這兩個選項後，你就會發現VPN 設定完後馬上就會UP。
SSG5三十天就上手-Day 25 SSG5 VPN Debug
Phase 1: Retransmission limit has been reached.
一 般如果你按照VPN 三步驟建好VPN之後，通常不會有什麼問題，不過總是會有粗心大意的時候，在這裡就分享一個案例。一般如果VPN建不起來，建議都先去看看SSG5 的 event log，看看SSG5 告訴你發生什麼事。此案例中，SSG5 log寫說 Phase 1: Retransmission limit has been reached. 這邊遇到這個問題大多會想說兩端點是不是有通，曾經我就遇到過，兩邊都互相 ping的到，設定也都沒有錯，可是就是建不起來。最後才發現，原來如果來回的路走不一樣，也會讓你建不起來。會來回走不一樣的原因是因為有一端的 SSG5 有多條線路。

解法就是調整的Routing ，確保來回路都走一樣，就可以解決這個問題。
SSG5三十天就上手-Day 26 SSG5 Interface States
在SSG5的 interface 有下列四個 states：

Physically Up
這是當你的網路 cable 實際讓你的 SSG5 接到一個 Network Device (如 switch 或 Notebook)，線路正常的狀態。

Logically Up
你可以在邏輯定義上，讓你interface設為 up ，此時 traffic才能通過你的 interface。

Physically Down
這是當你的網路 cable 實際讓你的 SSG5 接到一個 Network Device (如 switch 或 Notebook)，線路斷線的狀態。

Logically Down
你可以在邏輯定義上，讓你interface設為 down ，此時 traffic無法通過你的 interface。
SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First
如 果有很多site，那給個site都可以放一臺SSG5，你會發現維護你的routing 會是很累人的事。尤其當你有兩條線路要手動切備援，更是累人。此時建議你就可以 on ospf，讓SSG5 幫你自動算 routing ，要讓SSG5 on OSPF 只要以下幾個簡步驟。

步驟一，Create OSPF Instance
步驟二，設定Area 中的 interface
步驟三，在Interface中將 OSPF 設定為 enable

這樣你的SSG5就會啟動 OSPF。OSPF 會依據本身的設定放出的routing，放出讓鄰居(另外一臺SSG5)學習，每一條連線都有自己的COST，然後他會幫你算出最便宜的路，最後讓你的Routing 走最便宜的路線。
SSG5三十天就上手-Day 28 SSG5 OSPF - Areas
Areas
SSG5 預設在你啟用ospf 的時候，會將所有的 routers 群組放入一個單獨的“backbone” area 這個area 叫做 area 0 (你會在你的SSG5中看到 area 0.0.0.0)。不過通常如果你的架構中，是一個很大的網路，那你會把他劃分為幾個小的 area。

在SSG5中，你可以在新增area 時，設定你的 area type ，除了normal，另外兩種型別說明如下：
Stub
Stub area — 接收來自backbone area 的 route summaries 但是不接收來自其它的area 的 link-state。
Not So Stubby Area (NSSA)
像是一個normal stub area， NSSAs 不能接收非本area外的 OSPF 以外的資源。
SSG5三十天就上手-Day 29 SSG5 OSPF - Security Configuration
Configuring an MD5 Password
為了避免有人利用OSPF 偷偷當你的非法鄰居，亂放 routing 給你學，害你的site掛掉，建議你要對你的SSG5 的 OSPF 設定安全性。

SSG5 可以讓你在 interface 中設定明碼或是MD5 編碼的密碼，在這裡建議你選用MD5，他最多可以讓你輸入16個字元，設定方式如下：
請登入你SSG5 的web 管理介面。
在左邊選擇"Network" => "Interfaces" =>然後對你要編輯的interface按下 Edit =接著在上方的Link中點選OSPF

進入OSPF 設定頁面後，挑選 MD5的選項，並輸入你的key與Key ID，最後要選Preferred。然後按下apply即可。

這樣沒有這定這個key的就不能來當鄰居囉！
SSG5三十天就上手-Day 30 SSG5 OSPF - Network Types
SSG5 支援下列 OSPF 的 network types：

Broadcast
broadcast network 這是你接到一個有很多 router的網路，且可以送出廣播。在 broadcast network 的router 都假設可以彼此互相通訊。最簡單的範例就是Ethernet。在broadcast networks中，OSPF 會讓 router 送出hello packets到multicast address 224.0.0.5 以便動態的偵測決定他的neighbor routers。

Point-to-Point
point-to-point network 典型的透過WAN(Wide Area Network) 將兩個router 加在一起。最簡單的範例就是兩個SSG5 透過IPsec VPN tunnel 連線。在point-to-point networks中。OSPF 會讓 router 送出hello packets到multicast address 224.0.0.5 以便動態的偵測決定他的 neighbor routers 。

Point-to-Multipoint
OSPF 對point-to-multipoint network 會看成是一個 non-broadcast network。他是連線的對方是 point-to-point 的links. 在SSG5 只有 Tunnel interface 才支援Point-to-Multipoint。

==================================================================================================

例項：深圳XXX 公司購買了一臺Juniper SSG-5-SH 防火牆來搭建公司與外部相連的主要裝置，天津分公司也是使用Juniper SSG-5-SH。

要求：

1：公司劃分五組使用者。

裝置組|Equipment ：192.168.1.1~192.168.1.20  (劃分給裝置使用，如路由器、防火牆、門禁裝置、監控裝置、機器裝置等。）

普通員工組| User：192.168.21~192.168.1.99（劃分給公司普通員工使用，但不能上網。）

辦公室員工組| Office：192.168.1.100~192.168.199 (劃分給公司辦公室員工使用，能接收發外部郵件、上指定網站。)

高層管理者組| Management ：192.168.1.200~192.168.1.219(劃分給公司高層管理者使用。能接收發郵件和上大部分網站。）

來賓組| Autoconfig ：192.168.1.220~192.168.1.253(劃分給公司來賓在會議室使用，無任何限制。)

              192.168.1.254 （公司租用電信兩條ADSL，此IP供Cisco 1720 Router 使用，與XX公司專用網路線路相連。）

2：如何設定電腦登入指定網站，或是開通相關網站的埠號（我們這裡給電腦指定IP地址）。

3：如何與天津分公司搭建VPN。

A1:

登入SSG5的Web頁面，Policy>Policy Elements>Addresses>Groups. 在Zone中選擇Trust， 按New.

如下圖設定：

 A2: 給指定電腦(192.168.1.105) 設定相關引數如下圖。

====================================================================

下面是管理層組員的設定

Source Address ---- Address Book Entry ，按 Multiple 按鈕。如下圖所示：

Destination Address----Address Book  Entry  按Multiple 按鈕，如下圖所示：

Service ，點選Multiple 按鈕，如下圖所示：


=================================================================================

下面設定上指定Internet 網站。

Policy>Policy Elements>Addresses>List 

Untrust  按New 按鈕。

?

 =======================================================================

下面是設定特殊埠號：

A3:

========================================================================

四層連線----源地址、源埠號、目的地址、目的埠號共同確定的一個數據流就是一個四層連線。可能是一個TCP連線，也可能是一個UDP會話或一個ICMP會話。限制四層連線之後，共享上網瀏覽或收發郵件不會受到影響。但掃描之類的事情就行不通。

(責任編輯：admin)

from:

http://www.net527.cn/a/luyoujiaohuan/Juniperjishu/2011/0516/17827.html