Netscreen配置实例

NetScreen 系列产品，是应用非常广泛的 NAT 设备。 NetScreen － 100 就是其中的一种。
NetScreen-100 是个长方形的黑匣子，其正面面板上有四个接口。左边一个是 DB25 串口，右边三个是以太网网口，从左向右依次为 Trust Interface 、 DMZ Interface 、 Untrust Interface 。其中 Trust Interface 相当于 HUB 口，下行连接内部网络设备。 Untrust Interface 相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（ 10M/100M ）。 DMZ Interface 介绍从略。
配置前的准备
1.        PC 机通过直通网线与 Trust Interface 相连，用 IE 登录设备主页。设备缺省 IP 为 192.168.1.1/255.255.255.0 ，用户名和密码都为 netscreen ；
2.         登录成功后修改 System 的 IP 和掩码，建议修改成与内部网段同网段，也可直接使用分配给 Trust Interface 的地 址。 修改完毕点击 ok ，设备会重启；
3.         把 PC 的地址改为与设备新的地址同网段，重新登录，即可进行配置
4.         也可通过串口登录，在超级终端上通过命令行修改 System IP
数据配置
数据配置包括三部分内容： Policy 、 Interface 、 Route Table 。
1.         配置 Policy
用 IE 登陆 NetScreen ，在配置界面上，依次点击左边竖列中的 Network�C 〉 Policy ，然 后选中 Outgoing 。如系统原有的与此不同，可点击表中最后一列的 Remove 来删除掉，然后点击左下角的 New Policy ， 重新设置。
2.         配置 Interface
在配置界面上，依次点击左边竖列中的 Configure�C 〉 Interface 选项，则显示如下所示的配置界面，其中主要是配置 Trust Interface 、 Untrust Interface ，必要时修改 System IP 。

在 Interface 配置图当中 ;
说明：
1.        Trust Interface 下面的 Inside IP ，即指端口本身的 IP 。因为该端口是设备用以与局域网内部相连的，所以就相当于是设备对内的端口，故此把该端口的 IP 就叫做设备的 Inside IP 。同理， Untrust Interface 下面的 Outside IP 也是指该端口的 IP ，因为该端口是面向局域网外部的； Trust Interface 下面的 Default Gateway ，指局域网内部与 Trust Interace 相连的设备的接口的地址。在本例中即是上行口的地址。 Untrust Interface 下面的 Default Gateway 是指外出上公网的网关地址（即 NAT 的下一跳），本例中指与 NAT 相连的路由器的接口地址
2.         在接口的配置选项中， Traffic Bandwidth 选项是对该端口传输带宽的描述，不用设置。因为两端口都是自适应的，会根据所连对端端口的带宽而自动调整。
3.         在 Enable 的选项中， Trust Interface 端口按照缺省的选择即可。而 Untrust Interface 因为面对公网，为安全起见，应当把 ping 、 telnet 等性能屏蔽掉， 不要选择。只有当有必要进行远程维护时，才把 telnet 选中。
4.         对于 System IP ，当第一次登录后把它修改为与 Trust Interface 或 Untrust Interface 的 IP 在同一网段，则用户就只能从 Trust Interface 或 Untrust Interface 登录。为了实现从两个端口都可登陆，以便管理，需要在上述界面上把 System IP 的值改为 0.0.0.0
5.        Untrust Interface 和 Trust Interface 配置内容完全一样，上面的例图由于是用 PrtSc 屏拷下来的，不能把 Untrust Interface 的配置内容拷全，特此说明。
3.         配置 Route Table
在配置界面上，依次点击左边竖列中的 Configure �C 〉 Route Table 选项，则显示图 5 所示界面。

系统要正常运行，在 NAT 内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的 路由，其网关是与 NAT 相连的接口的地址。该路由为： 10.10.0.0 255.255.0.0 10.100.0.1 Trust ；另一条是去外部公网的缺省路由，其网关是与 NAT 相连的外部路由器的接口地址。该路由为： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust 。

从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的第一条路由。点击界面左下角的 New Entry 创建新的路由。对于已生成的路由，可以通过点击 Edit 、 Remove 进行修改或删除。
至此，所有配置全部完成。