一、網(wǎng)絡(luò)拓?fù)?br />ORC305工業(yè)4G路由器使用SIM卡撥號(hào)上網(wǎng)，獲得運(yùn)營(yíng)商分配的動(dòng)態(tài)私網(wǎng)IP地址。右側(cè)為企業(yè)數(shù)據(jù)中心部署Juniper Netscreen Firewall防火墻，通過(guò)企業(yè)專線接入了互聯(lián)網(wǎng)，并且使用靜態(tài)公網(wǎng)IP，防火墻WAN接口（Unturst接口）接入互聯(lián)網(wǎng)，LAN（Trust接口為企業(yè)內(nèi)網(wǎng)）。LTE 4G無(wú)線路由器與Juniper Netscreen Firewall防火墻建立IPSec VPN，使得企業(yè)的LAN可以訪問(wèn)ORC305工業(yè)無(wú)線路由器的LAN口設(shè)備。

二、Juniper Netscreen Firewall配置指導(dǎo)
1.NetScreen配置，如圖所示：

在NetScreen系列防火墻端口的初始配置下（這里以SSG5系列為例），Bgroup0在trust區(qū)域并關(guān)聯(lián)上了ethernet0/2-6，Bgroup1-3在Null區(qū)域。ethernet0/0口在Untrust區(qū)域。ethernet0/1在DMZ區(qū)域，Serial0/0工作在Null區(qū)域，vlan1工作在Null區(qū)域。在對(duì)WAN口進(jìn)行配置之前可以對(duì)接口做一個(gè)規(guī)劃。在這我們把ethernet0/0做為WAN口放在Untrust區(qū)域。把ethernet0/1也放入到Bgoup0中去做為L(zhǎng)AN口。

WEBUI Network>Interfaces(List)

WEBUI Zone Name：Null(只有在Null區(qū)域的接口才能被關(guān)聯(lián)到Bgroup中)

WEBUI Network>Interfaces(List)f

WEBUI Network>Interfaces>Edit>Bind Port Bind to current Bgroup Ethernet0/2:(勾選)Ethernet0/3:(勾選)Ethernet0/4:(勾選)Ethernet0/5:(勾選)Ethernet0/6:(勾選)現(xiàn)在E0/1-6就都成為了LAN端口了1.1配置WAN端口1.1.1靜態(tài)IP地址模式下圖中ethernet0/0的IP為172.0.0.254/24為設(shè)備的出廠默認(rèn)值。若運(yùn)用商為該線路分配了IP為125.69.128.0/24的地址，則需要根據(jù)將WAN接口的地址修改為此IP地址。

WEBUI Network>Interfaces(List)

WEBUI Network>Interfaces>Edit Static IP IP Address/Netmask：125.69.128.108/24（中心端的固定IP地址）1.1.2 PPPoE模式

WEBUI Network>Interfaces(List)

Zone Name:Untrust Obtain IP using PPPoE:Create new pppoe setting

WEBUI Network>PPPoE>Edit Enable:（勾選）Bound to Interface:ethernet0/0 Username:(填寫pppoe的賬號(hào))Password:（填寫pppoe的密碼）Authentication：any(包含了CHAP PAP兩種認(rèn)證方式)現(xiàn)在Ethernet0/0就已經(jīng)設(shè)置成為了pppoe的WAN端撥號(hào)口。檢查pppoe狀態(tài)

配置好后在WEBUI Network>PPPoE(List)可以看到State欄會(huì)變成Connected狀態(tài)

回到WEBUI Network>Interfaces(List)如圖所示在ethernet0/0的pppoe欄會(huì)看到一個(gè)綠色的表示撥號(hào)已經(jīng)成功。并且IP/Network欄會(huì)看到pppoe分配的ip地址和掩碼。如果看到是一個(gè)紅色的表示撥號(hào)沒(méi)成功，如果點(diǎn)擊一下系統(tǒng)會(huì)重啟撥號(hào)過(guò)程，如果還是失敗就檢查是否線路或者配置有錯(cuò)誤。1.1.3 DHCP動(dòng)態(tài)地址模式

WEBUI Network>Interfaces(List)

WEBUI Network>Interfaces>Edit Obtain IP using DHCP:選取點(diǎn)擊ok之后30秒以內(nèi)就可以獲取到IP地址。
2.LAN端口配置，如圖所示：

WEBUI Network>Interfaces(List)>Edit

Properties：Basic Zone Name：Trust Static IP：IP Address/Netmask 172.0.0.1/24 Manageable(勾選)Interface Mode：NAT這里需要注意一個(gè)問(wèn)題，在吧Bgroup0的地址從192.168.1.1/24配置到實(shí)際需要的地址（172.0.0.1/24）之后。由于DHCP中關(guān)于該接口的地址池配置不會(huì)自動(dòng)創(chuàng)建，所以會(huì)導(dǎo)致不能通過(guò)WEB界面繼續(xù)對(duì)SSG5進(jìn)行配置。需要給自己的主機(jī)手工設(shè)置一個(gè)地址。如172.0.0.33/24。再在WEB界面登錄172.0.0.1就可以繼續(xù)對(duì)SSG5進(jìn)行配置了。

WEBUI Network>DHCP(List)

WEBUI Network>DHCP(List)

WEBUI Network>DHCP>DHCP Server Address Edit Dynamic:IP Address Start：172.0.0.2（網(wǎng)段中的起始地址）IP Address End：172.0.0.254（網(wǎng)段中的結(jié)束地址）現(xiàn)在取消掉手動(dòng)配置的ip地址以后就可以通過(guò)DHCP自動(dòng)獲得IP地址了。
tunnel接口配置，如圖所示：

WEBUI Network>Interfaces(List)>New

WEBUI Unnumbered:選擇Interface：ethernet0/0(trust-vr)創(chuàng)建一個(gè)tunnel接口并將改接口關(guān)聯(lián)到WAN口上。以備ipsec發(fā)送數(shù)據(jù)時(shí)使用。1.4配置策略在系統(tǒng)默認(rèn)的情況下我們有一條重Trust區(qū)域所有條目到Untrust區(qū)域的所有條目的策略。而在VPN的環(huán)境中我們必須要做到無(wú)論哪個(gè)區(qū)域優(yōu)先發(fā)起的流量都能通信，所以需要在Untrust到Trust的區(qū)域添加一條策略。

WEBUI Policy>Policy Elements>Addresses>List

WEBUI Policy>Policy Elements>Addresses>Configuration Address Name:遠(yuǎn)端1LAN(為遠(yuǎn)端1的列表配置一個(gè)名稱)IP Address/Netmask(wildcard mask):192.168.2.0/24（對(duì)端1LAN的地址）Zone：Untrust（遠(yuǎn)端1的流量從tunnel口進(jìn)來(lái)屬于Untrust區(qū)域）

WEBUI Policy>Policy Elements>Addresses>List

Policy>Policy Elements>Addresses>Configuration Address Name：本地LAN(給本地LAN的條目配置一個(gè)名稱)IP Address/Netmask(wildcard mask):172.0.0.0/24（本地LAN的地址和掩碼）Zone：Trust（本地LAN應(yīng)該屬于Trust區(qū)域）

WEBUI Policy>Policies(From Untrust To Trust)From：Untrust（選取）to：Trust（選取）

WEBUI Policy>Policies(From Untrust To Trust)Source Address：Address Book Enty:遠(yuǎn)端1LAN(之前為遠(yuǎn)端1條目創(chuàng)建的列表，因?yàn)槭菑腢ntrust到trust所以這里為源)Destination Address：Address Book Enty：本地LAN(本地LAN列表名)點(diǎn)擊OK一條從Untrust到Trust的策略就配置好了。使得雙方的LAN端可以順利通信。
三、ORC305路由器端配置指導(dǎo)
1.將SIM卡插入路由器卡槽
2.給設(shè)備上電，登入路由器web頁(yè)面（默認(rèn)為192.168.2.1）
3.進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對(duì)應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級(jí)，保存配置
4.對(duì)應(yīng)SIM卡撥號(hào)成功，當(dāng)前鏈路變?yōu)榫G色
5.進(jìn)入網(wǎng)絡(luò)→VPN→IPsec界面進(jìn)行路由器（IPsec VPN客戶端）配置

保存并應(yīng)用配置后即可進(jìn)入狀態(tài)→VPN頁(yè)面看到IPsec VPN狀態(tài)為已連接