标签 juniper 下的文章

作者: reistlin
来源: http://www.reistlin.com/blog/295
更新时间: 2009.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

juniper.png

1. 测试目的:

为正式部署生产网硬件VPN平台(IPSec Full Mesh)进行性能综合性评估。

生产网VPN系统主要为运维,管理人员提供可靠的VPN加密隧道,保证运维人员可以通过任何网络安全的访问服务器和内部网络资源。同时,提供各个数据中心之间的数据同步,监控系统和日志审核的加密安全通道。

通过部署全网冗余VPN系统,可以简化应用和配置复杂度,方便管理,更好的安全细粒度控制,更完善的审计功能,为统一认证身份管理平台提供支撑。

2.产品介绍:

Juniper Network(瞻博)网络提供广泛的产品和技术组合,包括路由、交换、安全、应用加速、身份识别策略和控制,以及管理产品。收购NetScreen公司的主要产品SSG硬件防火墙系列,在安全业界享有非常高的评价。NetScreen采用了ASIC Based 的Fast Path(NetScreen GigaScreen ASIC Series)与传统CPU担任Slow Path(NetScreen ScreenOS)相结合的系统体系结构。这种”Seperation of Fast Path from Slow Path"的体系结构,使NetScreen在技术路线上获得了巨大的成功,在高端Firewall/VPN市场上,NetScreen的产品稳定在第一领先地位。

SSG320产品介绍:

juniper_netscreen_ssg320.gif

4 x 10/100/1000以太网接口,1GB物理内存。
ScreenOS版本:ScreenOS 6.2
防火墙性能(大型数据包):450+ Mbps
防火墙性能(IMIX):400 Mbps
每秒处理的防火墙数据包数量:175,000 PPS
3DES+SHA-1 VPN性能:175 Mbps (*)
并发VPN隧道数:500
最大并发会话数:64,000
新会话/秒:8,000
最大安全策略数:1,000
最大安全区数量:40
最大虚拟局域网数量:125

3. 测试方法:

使用两台Juniper SSG320硬件防火墙进行IPSec VPN互联,分别使用两种VPN加密方法:

a,IPSec Full Mesh VPN 全网状冗余VPN系统高强度加密测试:

Phase 1:3DES+SHA1 DH2 (1024bit) 
Phase 2:3DES+SHA PFS (1024bit)

b,IPSec Full Mesh VPN 全网状冗余VPN系统中强度加密测试:

Phase 1:DES+MD5 DH1 (768bit) 
Phase 2:DES+MD5 NoPFS (768bit)

测试两台Juniper SSG320硬件防火墙使用已经建立的VPN Tunnel传输数据。
监视和记录数据传输速度,带宽,网络丢包率,物理接口状态,系统负载等等。

测试协议: TCP、UDP,
测试应用: HTTP,FTP,CIFS。
测试工具: [iperf v1.7] [SolarWinds v9]

下载 [Juniper NetScreen SSG320 VPN 性能测试报告.pdf]

作者: reistlin
来源: http://www.reistlin.com/blog/180
更新时间: 2009.11
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

juniper.png

环境:

Juniper NetScreen(Redundant)+ H3C Switch(MSTP)

拓扑:

在双核心交换机环境中,使用单台NetScreen防火墙进行冗余连接,要求能够与双核心交换机的Layer2生成树环境结合,同时能够支持Layer3 VRRP环境。

netscreen_01.gif

SW-1和SW-2为H3C交换机,启用MSTP生成树协议。
SW-1为主根桥,SW-2为辅根桥。
SW-1的VLAN IP为:172.16.1.2。
SW-2的VLAN IP为:172.16.1.3。

NetScreen的物理接口eth0/1和物理接口eth0/2。
加入到逻辑接口Redundant1,IP地址为:172.16.1.1。

- 阅读剩余部分 -

作者: reistlin
来源: http://www.reistlin.com/blog/79
更新时间: 2010.12
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

redhatjuniper.png

[步骤一] 服务器端配置:Redhat Enterprise Linux AS(RHEL)

1,检查 syslogd 系统进程,默认是启动状态,默认参数为:-m 0

reistlin:~# ps aux | grep syslogd
root      2619  0.0  0.0   1728   616 ?        Ss   Nov29   0:18 syslogd -m 0

2,配置 /etc/syslog.conf 文件,定义防火墙日志的 local1(提示:需要与客户端配置对应,0-6 范围,因为 Linux 系统默认使用 7 来保存 boot messages 日志),并且将日志保存到文件:/home/syslog/netscreen.log

reistlin:~# vim /etc/syslog.conf 

# Juniper NetScreen Firewall syslog messages
local1.* /home/syslog/netscreen.log

- 阅读剩余部分 -

作者: reistlin
来源: http://www.reistlin.com/blog/70
更新时间: 2010.11
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

juniper.png

1,配置设备名:

set hostname REISTLIN

2,配置用户名,密码:

set admin name reistlin
set admin password reistlin.com

3,配置时区,NTP:

set clock ntp
set clock timezone 7
set ntp server 0.asia.pool.ntp.org

4,配置DNS:

set dns host dns1 8.8.8.8
set dns host dns2 8.8.4.4

5,配置启用https管理,登录超时时间,本地身份验证:

set admin http redirect
set admin auth web timeout 10
set admin auth server local

6,配置ssh版本,启用ssh管理:

set ssh version v2
set ssh enable

7,配置Trust/Untrust Zone,配置Interface IP地址:

set interface ethernet0/0 zone Trust
set interface ethernet0/2 zone Untrust

set interface ethernet0/0 ip 192.168.0.254/24
set interface ethernet0/0 nat

set interface ethernet0/2 ip 200.200.200.254/24
set interface ethernet0/2 route

8,配置Trust Interface管理功能,启用ping/ssh/snmp/ssl/web:

set interface ethernet0/2 ip manageable
set interface ethernet0/2 manage ping
set interface ethernet0/2 manage ssh
set interface ethernet0/2 manage snmp
set interface ethernet0/2 manage ssl
set interface ethernet0/2 manage web

9,配置default gateway默认网关,路由:

set route 0.0.0.0/0 interface ethernet0/2 gateway 200.200.200.1
set route 192.168.0.0/16 interface ethernet0/0 gateway 192.168.0.1

10,保存配置:

save