修改netscreen 路由各位大侠:

[ 本帖最后由 derek_ljw 于 2008-7-5 23:03 编辑 ]

最好要备份一下，在做更改。这样比较安全。防止丢失
Configuration > Update > Config File
save to file

Netscreen-100防火墙的基本配置流程


NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen－100就是其中的一种。
NetScreen-100是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右

边三个是以太网网口，从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。DMZ Interface介绍从略。

配置前的准备
1. PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0，用户名和密码都为netscreen ；
2. 登录成功后修改System 的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok，设备会重启；
3. 把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置
4. 也可通过串口登录，在超级终端上通过命令行修改System IP

数据配置
数据配置包括三部分内容：Policy、Interface、Route Table。
1. 配置Policy
用IE登陆NetScreen，在配置界面上，依次点击左边竖列中的Network–〉Policy，然 后选中Outgoing。如系统原有的与此不同，可点击表中最后一列的Remove来删除掉，然后点击左下角的New Policy， 重新设置。
2. 配置Interface
在配置界面上，依次点击左边竖列中的Configure–〉Interface选项，则显示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要时修改System IP。

在 Interface配置图当中;
说明：
1. Trust Interface下面的Inside IP，即指端口本身的IP。因为该端口是设备用以与局域网内部相连的，所以就相当于是设备对内的端口，故此把该端口的IP 就叫做设备的Inside IP。同理，Untrust Interface下面的Outside IP也是指该端口的IP ，因为该端口是面向局域网外部的；Trust Interface下面的Default Gateway，指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址（即NAT的下一跳），本例中指与NAT相连的路由器的接口地址
2. 在接口的配置选项中，Traffic Bandwidth选项是对该端口传输带宽的描述，不用设置。因为两端口都是自适应的，会根据所连对端端口的带宽而自动调整。
3. 在Enable的选项中，Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网，为安全起见，应当把ping、telnet等性能屏蔽掉， 不要选择。只有当有必要进行远程维护时，才把telnet选中。
4. 对于System IP，当第一次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段，则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆，以便管理，需要在上述界面上把System IP 的值改为0.0.0.0
5. Untrust Interface和Trust Interface配置内容完全一样，上面的例图由于是用PrtSc屏拷下来的，不能把Untrust Interface的配置内容拷全，特此说明。
3. 配置Route Table
在配置界面上，依次点击左边竖列中的Configure –〉Route Table选项，则显示图5所示界面。

系统要正常运行，在NAT内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的 路由，其网关是与NAT相连的接口的地址。该路由为：10.10.0.0 255.255.0.0 10.100.0.1 Trust ；另一条是去外部公网的缺省路由，其网关是与NAT 相连的外部路由器的接口地址。该路由为： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。

从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的第一条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由，可以通过点击Edit、Remove进行修改或删除。
至此，所有配置全部完成。

netscreen 配置文档


1、进入字符配置界面：
用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是netscreen。

2、进入WEB配置界面：
用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。打开IE浏览器输入http:/192.168.1.11（192.168.1.11为E1端口管理IP），用户名，密码都是netscreen。

3、配置端口IP和管理IP：
E1：内部网端口
端口IP192.168.1.20和管理IP192.168.1.11
更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理netscreen防火墙。

E3: 外网端口
端口IP192.168.42.66和管理IP192.168.42.68
更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理netscreen防火墙。


4、配置由内网到外网的NAT：
在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：
Zone Name: Trust
IP Address/Netmask: 172.16.40.11/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。

3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK：
ID: 6
IP Address Range
Start: 215.3.4.12（当地电信所分配的IP地址）
End: 215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）
Port Translation: Enable

4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，
然后单击OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , Any
Service: Any
Action: Permit
> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：
NAT: On
DIP On:（选择） , 6 (215.3.4.12–215.3.4.210)：上一步设的地址池。

5、配置由外网到内网的VIP：
在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24（当地电信所分配的IP地址）

VIP
3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：
Virtual IP Address: 210.1.1.10（对外的服务器地址）

4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：
Virtual Port: 80
Map to Service: HTTP (80)：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）
Map to IP: 10.1.1.10（此为服务器本身IP，内网IP）

策略
5. Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：
Source Address:
Address Book:（选择）, ANY
Destination Address:
Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址
Service: HTTP（WEB服务器选项）
Action: Permit


==========================================
此外,也可以看看这里:

呵呵，网络工程师三板斧：重启、升级、换设备 ！

目录
1 概念与简介 4
1.1 Universal Security Gateway Architecture(通用安全网关架构) 4
1.1.1 Multiple Security Zones(多安全区域) 4
1.1.2 Security Zone Interfaces(安全区域端口) 4
1.1.3 Virtual Routers(虚拟路由器) 5
1.1.4 Access Policies(访问策略) 5
1.1.5 VPNs（虚拟专用网络） 6
1.1.6 Virtual Systems(虚拟系统) 6
1.1.7 Packet Flow Sequence(数据包处理过程) 7
1.2 Zones(区域) 8
1.2.1 Security Zones(安全区域) 8
1.2.2 Tunnel Zones(隧道区域) 8
1.2.3 Function Zones(功能区域) 9
1.3 Interfaces(端口) 11
1.3.1 Interfaces Types(端口类型) 11
1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式) 11
1.3.3 Secondary IP Addresses(第二IP地址) 13
1.3.4 Management Services Options(管理服务选项) 13
1.3.5 Interface Services Options(端口服务选项) 14
1.3.6 Firewall Options(防火墙选项) 14
1.4 Administration（管理） 15
1.4.1 Management Methods and Tools（管理方法和工具） 15
1.4.2 Levels of Administration（管理权限等级） 16
2 基本管理 20
2.1 通讯连接的设置 21
2.2 Web管理连接设置 23
2.3 防火墙基本设置 27
2.3.1 设置访问超时时间 27
2.3.2 设置管理员 29
2.3.3 设置DNS 32
2.3.4 设置Zone（安全区域） 34
2.3.5 设置Interface(接口) 36
2.3.6 设置router(路由) 40
2.3.7 设置policy（策略） 43
2.3.8 保存配置及配置文件 49
3 透明模式 53
3.1 设置管理端口 54
3.2 设置透明模式 54
3.3 其他相关命令 55
4 NAT模式及Route模式 56
4.1 NAT模式 56
4.1.1 基于端口的NAT 57
4.1.2 基于策略的NAT 60
4.2 Route模式 62
4.3 MIP和VIP 63
4.3.1 MIP 63
4.3.2 VIP 66
4.4 DIP（虚拟IP） 70
5 VPN(虚拟专用网络) 73
5.1 Manual Key 73
5.1.1 配置Manual Key 73
5.1.2 配置路由 75
5.1.3 配置Policy 75
5.2 AutoKey IKE 78
5.2.1 Policy-based IKE 78
5.2.2 Route-based IKE 81
5.3 VPN TroubleShooting（VPN 错误检测） 83
6 常见问题及解决方案 84
6.1 透明模式 84
6.1.1 配置管理问题 84
6.1.2 连接问题 85
6.2 NAT和Route模式 86
6.2.1 配置管理问题 86
6.2.2 连接问题 86
概念与简介
Universal Security Gateway Architecture(通用安全网关架构)
NetScreen Screen OS 4.0 引入了Universal Security Gateway Architecture(通用安全网关架构)，这个架构使得用户在实施网络安全策略时更具灵活性。在多端口的NetScreen设备中，用户可以建立不同Zone(安全区域)，并将端口绑定在不同的安全区域，在端口之间建立相应的安全策略。
Multiple Security Zones(多安全区域)
安全区域是一个或多个需要对进出数据进行策略控制的网络。用户可以根据自己的需要来定义安全区域，也可以利用预定义的安全区域：Trust、Untrust、DMZ(与之前的ScreenOS兼容)，安全区域之间的访问只有策略允许下才能进行。
Security Zone Interfaces(安全区域端口)
安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。
端口有两种：
Physical Interfaces(物理端口)：由端口的物理位置定义，如ethernet1、ethernet2(固定端口)、ethernet2/1、ethernet2/2 (端口模块)
Subinterfaces(子端口)：在支持Virtual System(虚拟系统)的设备上，用户可以将一个物理端口分成几个虚拟子端口，如ethernet1.1、ethernet1.2(固定端口)、ethernet2/1.1、ethernet2/1.2 (端口模块)。
Virtual Routers(虚拟路由器)
虚拟路由器和路由器的功能是一样的，它有自己的端口和路由表。在USGA，NetScreen设备支持两个虚拟路由器，这样设备可以维护两个独立的路由表，互相隐藏路由信息。
Access Policies(访问策略)
每次有数据包尝试通过另一个安全区域时，NetScreen设备就会检查访问策略，如果有允许的策略的话，就会让数据包通过，否则就会拒绝通过。
VPNs（虚拟专用网络）
所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。
通过VPNC测试，与其他通过IPSec认证的厂家设备兼容。
三倍DES，DES和AES加密使用数字证书（PKIX.509）,自动的或手动的IKE。
SHA－1和MD5认证
同时支持网状式（mesh）及集中型（hub and spoke）的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。
NetScreen设备支持多种VPN的选项，具体见VPN章节。
Virtual Systems(虚拟系统)
高端的NetScreen设备（NS-500以上）支持虚拟系统，每个虚拟系统都有独立的地址簿、策略和管理功能，相当独立的安全系统。虚拟系统与802.1q VLAN标记相结合，把安全区域延伸到整个交换网络中。
Packet Flow Sequence(数据包处理过程)
当数据包从外部进入Netscreen设备时，首先是进入外部的接口，判断目的地址是否需要MIP或VIP转换，如果需要按照设定来转换，然后根据查找路由表上是否有路由，如果有查找策略中是否允许数据包进入，当查找到第一条与目的地址有关系的策略时，就根据策略决定是否允许数据包按照路由表的指定来传递，如果允许就传递到目的的地址。

Zones(区域)
Zone是一个可以应用安全措施虚拟网络空间(security zone)，一个能够被VPN隧道端口绑定的逻辑片断（tunnel zone），或者是一个能够履行一个特殊的功能的物理或逻辑实体（function zone）。
Security Zones(安全区域)
在单一的一个Netscreen设备上，你能够配置多个安全区域，把网络分解成多个能应用各种不同的安全策略的部分，以满足每一个部分不同的需要。最低限度，你必须定义两个 Security Zone，去建立一个网络中的区域到另外的区域的基本保护。你也可以定义许多的Security Zone，可以给你的安全设计带来很好的功能――不再需要为此再应该多种的安全工具了。
Tunnel Zones(隧道区域)
Tunnel Zone 是主管一个或多个隧道接口的逻辑部分。它被Security Zone联合起来作为行动的载体。Netscreen设备用路由信息为载体区域指导通向隧道终点的流量。默认的Tunnel Zone是Untrust－Tun，它是关联Unstrust Zone的。你可以创建其他的Tunnel Zone，并用在虚拟系统的载体区域中，对一个Tunnel Zone可以用的最大数目来绑定到其他的Security Zone。
Function Zones(功能区域)
一共有四个Function Zone分别是Null，MGT，HA和Self。每个Zone都为了一个单一的功能而设立的。
Null Zone（空区域）：这个区域是一个为了还没有绑定到其他的区域的端口做临时存放的区域。
MGT Zone（外带宽管理区域）：这个区域主要包括了对外带宽管理端口。包括MGT。
HA Zone（高可用性区域）：这个区域主要包括了高可用性的端口。包括HA1和HA2。
Self Zone（远程管理区域）：这个区域主要包括用于远程管理连接的端口。当你通过Http，SCS或Telnet连接到Netscreen上面的时候，你就是连接到这个区域。

Interfaces(端口)
创建玩一个区域，下一步就是创建一个端口。你必须创建一个端口，并把它绑定到一个区域，和指定允许流量流进或流出这个区域。然后，你必须设置路由和配置访问策略以允许流量从一个端口到另一个端口。物理端口和子端口，就像一个门口，允许流量流进和流出一个区域。你可以指派多个端口给一个区域，但是一个端口只能被指派给一个区域。
Interfaces Types(端口类型)
端口类型一共有三种，分别是物理端口（Physical Interface），子端口（Subinterface）和隧道端口（Tunnel Interface）。
Interfaces Settings And Operation Modes(端口设置和运行模式)
端口可以被配置成为三种不同的模式：网络地址转换模式（NAT Mode），路由模式（Route Mode）和透明模式（Transparent Mode）。当你配置端口的时候，你可以选择其中的一种模式。
Transparent Mode（透明模式）：当端口是处于透明模式下的时候，Netscreen过滤穿过防火墙的包时是不会改变在IP包头的原地址和目的地址的信息的。所有的端口就像存在于同一个网络中，而Netscreen就像一个二层的交换机或路桥。在透明模式下，端口的IP地址要设为0.0.0.0，使得Netscreen就好像不存在，或者说是对于用户来说是“透明”的。
Network address translation Mode(网络地址转换模式)：当端口是处于NAT模式下的时候，Netscreen就像是一台3层的交换机或路由器，能够转换穿过防火墙出去的IP包头的两个组成部分：源IP地址和源端口号。Netscreen会把源地址转换为包需要传送到的目的区域的端口IP地址。而且它也会把源端口号转换为另一个由Netscreen自己产生的随机号。
Route Mode（路由模式）：当端口是处在路由模式下的时候，Netscreen会路由数据包而不执行网络地址转换，就是说，当经过Netscreen的时候，数据包头的源地址和源端口号都不会被转换。不像NAT模式，你不需要在端口建立MIP或者VIP地址，路由模式可以允许进入的会话到达主机。也不像透明模式，在Trust Zone中的端口和在Untrust Zone中的端口是处于不同的子网。
Secondary IP Addresses(第二IP地址)
每一个Netscreen的端口都有一个单一的，独一无二的主IP地址。然而，在一些环境下却需要端口要有多个IP地址。例如，一个组织可能会有另外的IP地址分配，而且可能并不希望加一些路由去配置它们。特别是当一个组织有许多的网络设备以至于超过他们的子网可以控制的范围，就是说超过254台主机连接到一个子网上。为了解决这些问题，你就需要增加第二IP地址到在Trust Zone，DMZ Zone或用户定义的Zone中的端口上。
Management Services Options(管理服务选项)
你可以配置端口来应用不同的管理方法。例如，你可以应用本地管理在一个端口，而应用远程管理在另一个端口。你也可以把一个端口专门用作管理端口，这样可以把管理流量和用户流量完全区分开。
你可以选择以下一种或多种管理服务：WebUI，Telnet，SNMP，SCS，SSL。

Netscreen-100防火墙的基本配置流程


NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen－100就是其中的一种。
NetScreen-100是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右

边三个是以太网网口，从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。DMZ Interface介绍从略。

配置前的准备
1. PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0，用户名和密码都为netscreen ；
2. 登录成功后修改System 的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok，设备会重启；
3. 把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置
4. 也可通过串口登录，在超级终端上通过命令行修改System IP

Netscreen-100防火墙的基本配置流程


NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen－100就是其中的一种。
NetScreen-100是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右

边三个是以太网网口，从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。DMZ Interface介绍从略。

配置前的准备
1. PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0，用户名和密码都为netscreen ；
2. 登录成功后修改System 的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok，设备会重启；
3. 把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置
4. 也可通过串口登录，在超级终端上通过命令行修改System IP

数据配置
数据配置包括三部分内容：Policy、Interface、Route Table。
1. 配置Policy
用IE登陆NetScreen，在配置界面上，依次点击左边竖列中的Network–〉Policy，然 后选中Outgoing。如系统原有的与此不同，可点击表中最后一列的Remove来删除掉，然后点击左下角的New Policy， 重新设置。
2. 配置Interface
在配置界面上，依次点击左边竖列中的Configure–〉Interface选项，则显示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要时修改System IP。

在 Interface配置图当中;
说明：
1. Trust Interface下面的Inside IP，即指端口本身的IP。因为该端口是设备用以与局域网内部相连的，所以就相当于是设备对内的端口，故此把该端口的IP 就叫做设备的Inside IP。同理，Untrust Interface下面的Outside IP也是指该端口的IP ，因为该端口是面向局域网外部的；Trust Interface下面的Default Gateway，指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址（即NAT的下一跳），本例中指与NAT相连的路由器的接口地址
2. 在接口的配置选项中，Traffic Bandwidth选项是对该端口传输带宽的描述，不用设置。因为两端口都是自适应的，会根据所连对端端口的带宽而自动调整。
3. 在Enable的选项中，Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网，为安全起见，应当把ping、telnet等性能屏蔽掉， 不要选择。只有当有必要进行远程维护时，才把telnet选中。
4. 对于System IP，当第一次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段，则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆，以便管理，需要在上述界面上把System IP 的值改为0.0.0.0
5. Untrust Interface和Trust Interface配置内容完全一样，上面的例图由于是用PrtSc屏拷下来的，不能把Untrust Interface的配置内容拷全，特此说明。
3. 配置Route Table
在配置界面上，依次点击左边竖列中的Configure –〉Route Table选项，则显示图5所示界面。

系统要正常运行，在NAT内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的 路由，其网关是与NAT相连的接口的地址。该路由为：10.10.0.0 255.255.0.0 10.100.0.1 Trust ；另一条是去外部公网的缺省路由，其网关是与NAT 相连的外部路由器的接口地址。该路由为： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。

从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的第一条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由，可以通过点击Edit、Remove进行修改或删除。
至此，所有配置全部完成。

netscreen 配置文档


1、进入字符配置界面：
用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是netscreen。

2、进入WEB配置界面：
用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。打开IE浏览器输入http:/192.168.1.11（192.168.1.11为E1端口管理IP），用户名，密码都是netscreen。

3、配置端口IP和管理IP：
E1：内部网端口
端口IP192.168.1.20和管理IP192.168.1.11
更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理netscreen防火墙。

E3: 外网端口
端口IP192.168.42.66和管理IP192.168.42.68
更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理netscreen防火墙。


4、配置由内网到外网的NAT：
在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：
Zone Name: Trust
IP Address/Netmask: 172.16.40.11/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。

3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK：
ID: 6
IP Address Range
Start: 215.3.4.12（当地电信所分配的IP地址）
End: 215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）
Port Translation: Enable

4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，
然后单击OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , Any
Service: Any
Action: Permit
> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：
NAT: On
DIP On:（选择） , 6 (215.3.4.12–215.3.4.210)：上一步设的地址池。

5、配置由外网到内网的VIP：
在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24（当地电信所分配的IP地址）

VIP
3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：
Virtual IP Address: 210.1.1.10（对外的服务器地址）

4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：
Virtual Port: 80
Map to Service: HTTP (80)：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）
Map to IP: 10.1.1.10（此为服务器本身IP，内网IP）

策略
5. Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：
Source Address:
Address Book:（选择）, ANY
Destination Address:
Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址
Service: HTTP（WEB服务器选项）
Action: Permit

L2TP连接尝试失败，因为安全层在初始化于远程计算机的协商时遇到一个错误
经过努力，已经试通了在WINXP下的L2TP连接
针对以前的一些疑问，心得如下，供参考：
1、大部分的设置与在w2k下一样，参看小弟在楼上所贴的相关设置
2、Netscreen VPN server端无需更改设置
3、在WinXP下，修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1
4、如果客户端是在局域网中，需避免与远程网络在同一个子网中
曾遇到到Fushun兄说的问题，已经开始验证密码和身份了，但最终失败。后来修改本地子网后就没问题了