客户原有环境：

昆山主厂固定ip连接外网，一根专线连接台湾总部，使用一台cisco的1812作为核心路由并使用dhcp分配ip，内部有一台ISA服务器控制用户上网。

上海adsl拨号上网，没有固定ip，有业务需要通过vpn连接昆山的总厂，并且需要通过昆山的专线连接台湾的总部，并且需要使用无线路由。

目前使用Windows自带的vpn拨号软件通过ISA实现网络的互通。

台湾内网网段：192.168.0.0/24

昆山内网网段：192.168.11.0/24

上海内网网段：192.168..10.0/24

cisco 1812 IP:192.168.11.253

遇到的问题：

软件的VPN不稳定，经常会出现掉线情况，性能不能满足目前的要求。

网络安全问题，没有防火墙，ISA主机直接暴露在外网，非常容易受到攻击。

解决方案：

客户要求保留ISA服务器，便于内网上网用户的管控，昆山主厂使用一台Netscreen NS-25作为VPN防火墙，架设在外网出口，起到保护内部网络及与上海节点建立VPN的功能。ISA位于防火墙之后，LAN口接内网交换机，WAN口接Netscreen NS-25的DMZ口，Netscreen NS-25的trust接口与内网交换机连接，Trust接口不允许用户上外网。DMZ接口开放外网访问。关闭Netscreen的DHCP功能，由cisco的1812做DHCP及内网网关。

上海节点用户数较少，选用一台Juniper SSG-5防火墙，使用ADSL上网，trust接口允许访问外网，与昆山总厂建立VPN。无线路由WAN接口分配一个Trust接口网段的ip，LAN口随便分配一个网段，由于无线路由使用NAT地址转换，使用无线路由上网的用户可以正常使用公司网络及VPN。

配置注意事项：

昆山使用Cisco 1812做内网主路由，因此需要在昆山的防火墙增加一条静态路由192.168.0.0/24 192.168.11.253指向核心路由。否则会出现通Ping防火墙Trust接口正常，但是不能访问内部电脑的情况。

VPN使用策略路由，由于上海端还需要通过昆山的专线访问台湾总部，因此上海端VPN策略的Untrust IP为192.168.0.0/24及192.168.11.0/24，相应的也是昆山端的Trust IP。

同时还需要在昆山的Cisco路由器上设置源地址为192.168.10.0的上海网段，目的地址为192.168.0.0/24访问路由。由于客户修改核心交换机需要总部批准，所以采用在策略中使用“ Source Translation”将VPN的IP地址进行NAT转换。 否则会出现上海端访问台湾网段时，被Cisco 1812拦截的情况。

转载请注明：

本文转自：http://www.liusuping.com/juniper/juniper-vpn-peizhi-anli.html