In English, Spanish, Japanese, Simplified Chinese, and ......NETSCREEN-5GT User’s Guide In English, Spanish, Japanese, Simplified Chinese, and Traditional Chinese Version 5.0.0 P/N

NETSCREEN-5GTUser’s Guide

In English, Spanish, Japanese, Simplified Chinese, and Traditional Chinese

Version 5.0.0 P/N 093-0968-000 Rev. B

Copyright NoticeCopyright © 2003 NetScreen Technologies, Inc. All rights reserved.

NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of NetScreen Technologies, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of NetScreen Technologies, Inc. All other trademarks and registered trademarks are the property of their respective companies.

Information in this document is subject to change without notice.

No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:

NetScreen Technologies, Inc.Building #3805 11th AvenueSunnyvale, CA 94089www.netscreen.com

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreen’s installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for Class B digital devices in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation.

If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

• Reorient or relocate the receiving antenna.

• Increase the separation between the equipment and receiver.

• Consult the dealer or an experienced radio/TV technician for help.

• Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.

Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

DisclaimerTHE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.

http:\\www.netscreen.com

Language ContentsEnglish .....................................................................................................................1

Spanish ..................................................................................................................21

Japanese ..............................................................................................................43

Simplified Chinese .................................................................................................63

Traditional Chinese................................................................................................83

NetScreen-5GT iii

Language Contents

iv User’s Guide

ContentsPreface ...................................................................................................................3

Organization ............................................................................................... 3

CLI Conventions .......................................................................................... 3

NetScreen Publications ............................................................................... 4

Chapter 1 Connecting the Device.........................................................................5

Connecting the NetScreen Device to the Network ..................................... 5

Connecting the Power ................................................................................ 5

Rack Mounting (Optional) .......................................................................... 5

Chapter 2 Configuring the Device .........................................................................7

Default Settings ........................................................................................... 8

Accessing the Device ............................................................................... 11

Configuring the Untrust Interface .............................................................. 13

Changing Your Login Name and Password .............................................. 14

Verifying External Connectivity ................................................................. 14

Resetting the Device to Factory Defaults .................................................. 14

Chapter 3 Hardware Descriptions ........................................................................17

Port and Power Connectors ...................................................................... 17

Status LEDs ................................................................................................ 18

Appendix A Specifications....................................................................................19

NetScreen-5GT 1

Contents

2 User’s Guide

Preface

The NetScreen-5GT device provides IPSec VPN and firewall services for a broadband telecommuter, a branch office, or a retail outlet. While at the entry level of the NetScreen appliance product line, the NetScreen-5GT device uses the same firewall, VPN, and traffic management technology as NetScreen’s high-end central site products.

NetScreen offers three versions of the NetScreen-5GT device:

• The 10-user version supports up to 10 users.• The Plus version supports an unrestricted number of users.• The Extended version provides the same capabilities as the Plus version with

additional features: High Availability (NSRP Lite), the DMZ security zone, and additional sessions and tunnel capacity.

ORGANIZATIONThis manual has three chapters and one appendix.

Chapter 1, “Connecting the Device” describes how to install the NetScreen-5GT device in a rack, connect the device to your network, and connect the power.

Chapter 2, “Configuring the Device” describes the default settings and operation of the NetScreen-5GT and the configuration required to use the device with its default settings.

Chapter 3, “Hardware Descriptions” provides an overview of the NetScreen-5GT ports, LEDs, and power requirements.

Appendix A, “Specifications” provides a list of physical specifications about the NetScreen-5GT device.

CLI CONVENTIONSThe following conventions are used when presenting the syntax of a command line interface (CLI) command:

• Anything inside square brackets [ ] is optional.• Anything inside braces { } is required.• If there is more than one choice, each choice is separated by a pipe ( | ). For

example,

set interface { ethernet1 | ethernet2 | ethernet3 } manage

means “set the management options for the ethernet1, ethernet2, or ethernet3 interface”.

NetScreen-5GT 3

Preface

• Variables appear in italic. For example:

set admin user name passwordWhen a CLI command appears within the context of a sentence, it is in bold (except for variables, which are always in italic). For example: “Use the get system command to display the serial number of a NetScreen device.”

NETSCREEN PUBLICATIONSTo obtain technical documentation for any NetScreen product, visit:

www.netscreen.com/resources/manuals/.

To obtain the latest software version, visit: www.netscreen.com/services/download_soft. Select a category of software product from the dropdown list, then follow the displayed instructions. (You must be a registered user to download NetScreen software.)

If you find any errors or omissions in the following content, please contact us at the e-mail address below:

[email protected]

Note: When typing a keyword, you only have to type enough letters to identify the word uniquely. For example, typing set adm u joe j12fmt54 is enough to enter the command set admin user joe j12fmt54 . Although you can use this shortcut when entering commands, all the commands documented here are presented in their entirety.

4 User’s Guide

www.netscreen.com/resources/manuals/

http://www.netscreen.com/services/download_soft

mailto:[email protected]

1Chapter 1

Connecting the Device

This chapter describes how to connect a NetScreen-5GT device to the network and connect the power. If you are using the optional NetScreen-5GT rack mount kit, rack mounting instructions are included at the end of this chapter.

CONNECTING THE NETSCREEN DEVICE TO THE NETWORKYou can establish a high-speed connection to an external router, DSL modem, or cable modem, and provide firewall and general security for your network. Connect the provided Ethernet cable from the Untrusted port on the NetScreen-5GT device to the external router or modem.

The NetScreen-5GT device contains four trusted ports. You can use one of these ports to connect the device to a LAN via an internal switch or hub. You can also connect one or all of the ports directly to workstations, eliminating the need for a hub or switch. You can use either cross-over or straight-through cables to connect NetScreen-5GT ports to other devices.

CONNECTING THE POWERTo connect the power to the NetScreen-5GT device:

1. Plug the DC connector end of the power cable into the DC power receptacle on the back of the device.

2. Plug the AC adapter end of the power cable into an AC power source.

RACK MOUNTING (OPTIONAL)With a NetScreen-5GT rack-mount kit, you can mount one or two NetScreen-5GT devices in a standard 19-inch equipment rack. The NetScreen-5GT rack-mount kit includes these instructions and a rack-mounting tray. The dimensions of the tray are as follows:

• Width: 19 inches• Height: 1 5/8 inches; that is, 1 RU (rack unit)• Depth: 10 3/4 inches

Note: For safety warnings and instructions, refer to the NetScreen Safety Guide. The instructions in this guide warn you about situations that could cause bodily injury. Before working on any equipment, be aware of the hazards involved with electrical circuitry and be familiar with standard practices for preventing accidents.

Warning: NetScreen recommends using a surge protector for the power connection.

NetScreen-5GT 5

Chapter 1 Connecting the Device

In addition to a NetScreen-5GT device, rack-mount kit, and equipment rack, you also need the following:

• Phillips-head screwdriver• Four screws that match the thread size of the equipment rack

To mount the device in a rack:

1. Use the Phillips-head screwdriver to remove the two screws from the underside of each NetScreen-5GT device that you intend to mount. The screws are located on the underside of the NetScreen-5GT near the front panel. (Keep the screws for use in the next step.)

2. Insert the NetScreen-5GT devices on the rack-mount tray and screw them to the tray with the screws that you removed in step 1.

3. Screw the left and right tray plates to the equipment rack.

You can run power cords and ethernet cables through the openings in the floor of the tray or out the depressions in the back wall. You can also use the space behind the devices to hold power supplies. The switching power supplies, which you can order separately, fit easily in a 1-RU height space.

Remove the screws.

Insert the devices on the tray.

Screw the devices to the tray.

Screw the tray to the rack.

6 User’s Guide

2Chapter 2

Configuring the Device

This chapter describes how to configure a NetScreen-5GT after you have installed and connected it to your network and to a power source. After completing the necessary configurations, users in your network will be able to access the Internet through the NetScreen device while resources in your network are protected from outside computers.

Note: You must register your product at www.netscreen.com/cso so that certain ScreenOS services, such as internal antivirus or Deep Inspection Signature Service, can be activated on the device. After registering your product, use the WebUI or CLI to obtain the subscription for the service. For more information about registering your product and obtaining subscriptions for specific services, see the “System Parameters” chapter in Volume 2 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

Note: If you access the device for the first time using the ScreenOS WebUI graphical interface, the Initial Configuration Wizard appears when you log in to the WebUI. This Wizard guides you through the configuration described in this chapter. For more information about starting the Initial Configuration Wizard, refer to the Getting Started Guide for the NetScreen-5GT.

NetScreen-5GT 7

http://www.netscreen.com/cso

Chapter 2 Configuring the Device

DEFAULT SETTINGSThis section describes the default settings and operation of the NetScreen-5GT as it is shipped from the factory. These default settings are such that, in most cases, there are only a few items that you must configure. The figure below shows the default configuration for the NetScreen-5GT.

The Untrust interface is bound to the Untrust zone and is configured with the IP address 0.0.0.0/0. To allow the NetScreen device (and the devices on your network) to connect to the Internet, you must configure the Untrust interface according to information obtained from your Internet Service Provider (ISP). Refer to “Untrust Interface Address” on page 9.

Any user in the subnetwork can manage the NetScreen device if they know the login and password. To change the default login and password, refer to “Login and Password” on page 9. To restrict management of the NetScreen device to specific workstations, refer to “Restricting Management” on page 10.

The Trust interface is bound to the Trust zone and is configured with the subnetwork address 192.168.1.1/24. This means that all devices in your network that you connect to the Trust interface must be in the same subnetwork and have IP addresses in that subnetwork. The NetScreen device is also configured to assign IP addresses for the 192.168.1.1/24 subnetwork to your devices. For more information, refer to “Trust Interface Address” on page 10.

The NetScreen device allows any type of traffic to the Internet that originates from devices in your network, but does not allow any traffic that originates in the Internet to reach your network. You can configure additional restrictions; refer to “Additional Policies” on page 11.

Trust Interface192.168.1.1/24

Untrust Interface0.0.0.0/0

Trust Zone

Untrust Zone

To Internet

The NetScreen device assigns IP addresses to devices in your network via DHCP. Addresses are in the range 192.168.1.33 - 192.168.1.126.

WebUI and Telnet access to the NetScreen device allowed from any device in the subnetwork.

All types of traffic originated from your network is allowed to the Internet, but traffic originated from the Internet is not allowed to your network. External Router

Hub

8 User’s Guide

Default Settings

Required ConfigurationThis section describes the configurations that you must complete to use the NetScreen-5GT with its default settings.

Untrust Interface AddressYou must configure an IP address for the Untrust interface to enable the NetScreen device to connect to the Internet. This IP address represents your network to the outside world and is obtained from your Internet Service Provider (ISP) in one of the following ways:

• Your ISP gives you a specific, fixed IP address and netmask for your network.• Your network receives an IP address from a server via Dynamic Host

Configuration Protocol (DHCP).• Your network receives an IP address from a server via Point-to-Point Protocol

over Ethernet (PPPoE).

See “Configuring the Untrust Interface” on page 13.

Login and PasswordNetScreen highly recommends that you change your login and password to the NetScreen device, as all NetScreen products use the same default login name and password. See “Changing Your Login Name and Password” on page 14.

Optional ConfigurationThe following optional configurations are not described in detail in this manual. Refer to the appropriate sections in the NetScreen Concepts & Examples ScreenOS Reference Guide for more information.

Port ModeThe port mode is the binding of physical ports, logical interfaces, and zones. The default port mode, Trust-Untrust, binds the Trust interface to the Trust zone and the Untrust interface to the Untrust zone. Changing the port mode changes these bindings. This manual only covers configuring the NetScreen device in the Trust-Untrust port mode. For more information about port modes and how to change them, refer to the “Zones” chapter in Volume 2 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

Note: If you have any problems completing a configuration and you need to restore the device to its default settings, see “Resetting the Device to Factory Defaults” on page 14.

Warning: Changing the port mode removes any existing configurations on the NetScreen device. Therefore, change the port mode before configuring the device.

NetScreen-5GT 9


Restricting ManagementBy default, anyone in your network can manage the NetScreen device if they know the login and password. You can configure the NetScreen device to be managed only from a specific host on your network. (And you can choose which services — for example, WebUI, Telnet, ping — you want enabled on the NetScreen device.) Refer to the “Administration” chapter in Volume 3 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

Operational ModeThe operational mode is the way an interface on a NetScreen device processes traffic between zones. By default, the NetScreen-5GT operates in Route mode with network address translation (NAT) enabled on the Trust interface. This means that when devices in the Trust zone send traffic to the Internet, the NetScreen device replaces the original source IP addresses with the IP address of the Untrust interface. While the NetScreen device assigns “private” IP addresses to the devices in your network, these addresses remain hidden to computers outside your network.

If all devices in your network have public IP addresses, you can configure the NetScreen device for Transparent mode or Route mode without NAT enabled. In Transparent mode, the NetScreen device forwards traffic without checking IP addresses. In Route mode without NAT enabled, the NetScreen device routes traffic by checking IP addresses. For more information about configuring the device for Transparent mode or Route mode without NAT enabled, refer to the “Interface Modes” chapter in Volume 2 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

Trust Interface AddressYou can change the IP address and netmask of the Trust interface if necessary. (Remember that the IP addresses of devices in your network are never seen by computers outside your network; outside computers see only the IP address of the Untrust interface.) For example, you might need to change the Trust interface to match the IP addresses that already exist on your network. If you change the IP address and netmask of the Trust interface, you also need to change either the range of addresses that the NetScreen device assigns via DHCP to devices in the network, or disable the DHCP server on the Trust interface.

To assign a different IP address and netmask to the Trust interface, refer to the “Interfaces” chapter in Volume 2 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

To change the DHCP settings for the NetScreen device, refer to the “System Parameters” chapter in Volume 2 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

10 User’s Guide

Accessing the Device

Additional PoliciesThe NetScreen-5GT device is configured with a default policy that permits workstations in your network to access any kind of service with outside computers, while outside computers are not allowed to access or start sessions with your workstations. You can configure policies that direct the NetScreen device to permit outside computers to start specific kinds of sessions with your computers. To create or modify policies, refer to the “Policies” chapter in Volume 2 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

ACCESSING THE DEVICEYou can configure and manage the NetScreen-5GT device in several ways:

• WebUI: The ScreenOS WebUI is a graphical interface that is available through a Web browser. To use the WebUI, you must be on the same subnetwork as the NetScreen device. See “Using the WebUI” on page 11.

• Telnet: Telnet is an application that allows you to access devices through an IP network. To access and configure the device, you enter ScreenOS Command Line Interface (CLI) commands in a Telnet session from your workstation. See “Using Telnet” on page 12.

• NetScreen-Security Manager 2004 (NSM) and NetScreen Rapid Deployment (RD): If you are using NSM, you can optionally configure NetScreen appliances with RD. Refer to the Rapid Deployment Getting Started Guide for more information.

• Console connection: The Console port on the NetScreen-5GT device allows you to access the device through a serial cable connected to your workstation or terminal. To access and configure the device, you enter ScreenOS CLI commands on your terminal or in a terminal emulation program on your workstation. See “Using a Console Connection” on page 12.

Using the WebUITo use the WebUI, you must be on the same subnetwork as the NetScreen device. To access the NetScreen-5GT device with the WebUI management application:

1. Connect your workstation (or your LAN hub) to the Trusted port, as described in “Connecting the NetScreen Device to the Network” on page 5.

2. Launch your browser, enter the IP address for the Trust interface in the URL field, and then press Enter.

Note: You can also access remote NetScreen devices using Secure Shell (SSH) applications. Refer to the “Administration” chapter in Volume 3 of the NetScreen Concepts & Examples ScreenOS Reference Guide for more information.

NetScreen-5GT 11


For example, if the IP address of the Trust interface on the NetScreen device is 192.168.1.1/24, enter the following:

192.168.1.1The NetScreen WebUI software displays the login prompt.

3. Enter netscreen in both the Admin Name and Password fields, then click Login. (Use lowercase letters only. The Admin Name and Password fields are both case sensitive.)

The NetScreen WebUI application window appears. (If you access the device for the first time using the WebUI, the Initial Configuration Wizard appears; refer to the Getting Started Guide for the NetScreen-5GT.)

Using Telnet1. Connect your workstation (or your LAN hub) to the Trusted port, as described in

“Connecting the NetScreen Device to the Network” on page 5.2. Start a Telnet client application to the IP address for the Trust interface.

For example, if the IP address of the Trust interface on the NetScreen device is 192.168.1.1/24, enter the following:

192.168.1.13. Enter netscreen in both the login and password prompts. (Use lowercase

letters only. The login and password fields are both case sensitive.)

Using a Console Connection

To establish a console connection:

1. Plug the female DB-9 end of the serial cable into the serial port of your computer. (Be sure that the DB-9 connector is seated properly in the port.)

2. Plug the male DB-9 end of the serial cable into the Console port of the NetScreen-5GT device. (Be sure that the DB-9 connector is seated properly in the port.)

Note: For the console connection, you require a serial cable with a male DB-9 connector on one end and female DB-9 connector on the other end.

12 User’s Guide

Configuring the Untrust Interface

3. Launch a serial terminal emulation program. (A commonly-used terminal program is Hilgreave HyperTerminal.) The required settings to launch a console session with your NetScreen-5GT device are as follows:

– Baud Rate: 9600– Parity: No– Data Bits: 8– Stop Bit: 1– Flow Control: None

4. Enter netscreen in both the login and password prompts. (Use lowercase letters only. The login and password fields are both case sensitive.)

CONFIGURING THE UNTRUST INTERFACEYour network uses the Untrust interface on the NetScreen device to connect to the Internet. If you are setting up your Internet connection for the first time, contact your ISP for information on your network IP address assignment.

• If your ISP gave you a specific, fixed IP address and netmask for your network, configure the IP address and netmask for the network and the IP address of the router port connected to the NetScreen device. Enter the following CLI commands in a Telnet or Console session:

set interface untrust ip ip_addr/maskset interface untrust gateway ip_addrsave

• If your network receives an IP address from a server via DHCP, enter the following CLI commands in a Telnet or Console session:

set interface untrust dhcp client enablesave

• If your network receives an IP address from a server via PPPoE, configure the user name and password assigned by your ISP. Enter the following CLI commands in a Telnet or Console session:

set pppoe interface untrustset pppoe username name_str password pswd_strsave

Note: If you access the device for the first time using the ScreenOS WebUI graphical interface, the Initial Configuration Wizard appears when you log in to the WebUI to guide you through the configuration described in this chapter. Therefore, only the CLI commands are shown in this chapter.

NetScreen-5GT 13


CHANGING YOUR LOGIN NAME AND PASSWORDBecause all NetScreen products use the same default login name and password (netscreen), it is highly advisable to change your login name and password immediately. In a Telnet or Console session, enter the following CLI commands:

set admin name name_strset admin password pswd_strsave

For information on creating different levels of administrators, see the “Administration” chapter in Volume 3 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

VERIFYING EXTERNAL CONNECTIVITYTo verify that workstations in your network can access resources on the Internet, start a Web browser from any workstation in the network and enter the following URL: www.netscreen.com.

RESETTING THE DEVICE TO FACTORY DEFAULTSIf you lose the admin password, you can reset the NetScreen device to its default settings. This destroys any existing configurations, but restores access to the device.

You can restore the device to its default settings in one of the following ways:

• Using a Console connection. For further information, see the “Administration” chapter in Volume 3 of the NetScreen Concepts & Examples ScreenOS Reference Guide.

• Using the reset pinhole on the rear panel of the device, as described in the next section.

Warning: Resetting the device deletes all existing configuration settings and renders existing firewall and VPN service inoperative.

14 User’s Guide

http://www.netscreen.com

Resetting the Device to Factory Defaults

Using the Reset PinholeYou can reset the device and restore the factory default settings by pressing the reset pinhole. To perform this operation, you need to either view the device status LEDs on the front panel or have a Console session as described in “Using a Console Connection” on page 12.

1. Locate the reset pinhole on the rear panel. Using a thin, firm wire (such as a paper clip), push the pinhole for four to six seconds and then release.

The Status LED blinks amber. A message on the Console states that erasure of the configuration has started and the system sends an SNMP/SYSLOG alert.

2. Wait for one to two seconds.

After the first reset, the power LED blinks green; the device is now waiting for the second push. The Console message now states that the device is waiting for a second confirmation.

3. Push the reset pinhole again for four to six seconds.

The Status LED lights amber for one-half second, and then returns to the blinking green state.

4. The device resets to its original factory settings.

When the device resets, the Status LED turns amber for one-half second and then returns to the blinking green state. The Console message states that the configuration is erased and the unit is reset. The system generates SNMP and SYSLOG alerts to configured SYSLOG or SNMP trap hosts.

5. The device restarts.

If you do not follow the complete sequence, the reset process cancels without any configuration change and the console message states that the erasure of the configuration is aborted. The Status LED returns to blinking green. If the device did not reset, an SNMP alert is sent to confirm the failure.

Reset Pinhole

NetScreen-5GT 15


16 User’s Guide

3Chapter 3

Hardware Descriptions

This chapter provides descriptions of the NetScreen-5GT chassis.

PORT AND POWER CONNECTORSThe rear panel of the NetScreen-5GT device contains port and power connectors.

The DC power receptacle is for connecting power to the NetScreen-5GT.

The Reset pinhole allows you to reset the device and restore its factory default settings.

The NetScreen-5GT device includes the following ports:

.

Port Description Connector Speed/Protocol

Console Enables a serial connection with the system. Used for launching Command Line Interface (CLI) sessions.

DB-9 9600 bps/RS-232

Modem High-speed modem port. DB-9 9600 bps-115 Kbps/RS-232

Untrusted Enables an Internet connection through an external router, DSL modem, or cable modem.

RJ-45 10/100 Mbps/Ethernet

Ports 1-4 Enables direct connections to workstations or a LAN connection through a switch or hub. This connection also allows you to manage the device through a Telnet session or the WebUI management application.


Warning: Do not connect a TNV circuit (phone line or ISDN line) directly to the modem port on the NetScreen-5GT device. You must first connect the device to a modem, using an RS-232 port, then connect the modem to the TNV circuit.

NetScreen-5GT 17

Chapter 3 Hardware Descriptions

STATUS LEDSThe front panel of the NetScreen-5GT device has power and status LEDs for the device, and port status LEDs for the interfaces.

Interpreting Status LEDs for the DeviceThe device status LEDs indicate whether the device is operating properly. The following table describes the status possibilities for each.

Interpreting Port Status LEDsThe port status LEDs indicate whether the ports on the device are operating properly. The following table describes the possible status for the ports.

LED LED Color Meaning of the LED

POWER Green Solid On indicates the system is receiving power

Off Off indicates the system is not receiving power.

STATUS Amber Solid On indicates the system is starting up.

Green Blinking On indicates the system is functioning.

Red Blinking On indicates a diagnostics or system initialization error.

Off Off indicates the system is not operational.

LED LED Color Meaning of the LED

Link/Activity Green Blinking On indicates the device detects Ethernet traffic for the port.

Off indicates the port has not established a link with another device.

Solid On indicates the port has established a link with another device.

10/100 Green Solid On indicates the port is connected to a 100 Base-T device.

Amber Solid On indicates the port is connected to a 10 Base-T device.

Port Status LEDsStatus LEDPower LED

18 User’s Guide

AAppendix A

SpecificationsThis appendix provides general system specifications for the NetScreen-5GT.

Attributes

Height 1.125 inches (2.857 cm)

Depth 5 inches (12.7 cm)

Width 8.25 inches (20.95 cm)

Weight 1.3 pounds (590 g)

Electrical Switching Regulator Linear Regulator

AC voltage: 100-240 VAC+/- 10% 50/60 HzAC Watts: 12 WattsDC voltage: 12 Volts

AC voltage: 120 VAC+/- 10% 50/60 HzAC Watts: 12 WattsDC voltage: 12 Volts

Environmental Temperature Operating

Normal altitude 0°-40° C, 32-105°F

Relative humidity 10-90%

Non-condensing 10-90%

The maximum normal altitude is 12,000 feet (0-3,660 meters)

Certifications Safety EMI

ULCULCSACECBAustel

FCC Part 15 class BVCCICTICBSMI

Connectors The RJ-45 twisted-pair ports are compatible with the IEEE 802.3 Type 10/100 Base-T standard

Standard 100Base-TX

Media Type Category 5 and higher Unshielded Twisted Pair (UTP) Cable

Maximum Distance 328 feet (100 meters)

NetScreen-5GT 19

Appendix A Specifications

20 User’s Guide

ContenidoPrefacio ................................................................................................................23

Organización ............................................................................................ 23

Convenciones CLI .................................................................................... 23

Publicaciones de NetScreen .................................................................... 24

Capítulo 1 Conexión del dispositivo....................................................................25

Conexión del dispositivo NetScreen a la red ........................................... 25

Conexión de la alimentación .................................................................. 25

Montaje en bastidor (opcional) ................................................................ 26

Capítulo 2 Configuración del dispositivo ............................................................29

Ajustes predeterminados .......................................................................... 30

Acceso al dispositivo ................................................................................ 33

Configuración de la interfaz Untrust ......................................................... 36

Modificación del nombre de usuario y la contraseña ............................. 36

Verificación de la conectividad externa ................................................. 37

Restauración de los ajustes predeterminados de fábrica ....................... 37

Capítulo 3 Descripciones de hardware ..............................................................39

Conector de alimentación y puertos ....................................................... 39

LEDs de estado ......................................................................................... 40

Apéndice A Especificaciones..............................................................................41

NetScreen-5GT 21

Contenido

22 Manual de usuario

Prefacio

El dispositivo NetScreen-5GT ofrece servicios de IPSec VPN y de cortafuegos para telecomunicadores de banda ancha, sucursales o establecimientos minoristas. A pesar de encontrarse en el nivel básico de la gama de productos NetScreen, el dispositivo NetScreen-5GT utiliza el mismo cortafuegos, la misma VPN y la misma tecnología de gestión del tráfico que los productos de gama alta para estaciones centrales de NetScreen.

NetScreen ofrece tres versiones del dispositivo NetScreen-5GT:

• La versión para 10 usuarios admite un máximo de 10 usuarios.• La versión Plus admite un número ilimitado de usuarios. • La versión Extended ofrece las mismas funciones que la versión Plus y estas

otras características: alta disponibilidad (NSRP Lite), zona de seguridad DMZ, y capacidad de sesiones y túneles adicionales.

ORGANIZACIÓNEste manual tiene tres capítulos y un apéndice.

Capítulo 1, en “Conexión del dispositivo” se describe cómo instalar el dispositivo NetScreen-5GT en un bastidor, cómo conectar el dispositivo a la red y cómo conectar la alimentación.

Capítulo 2, en “Configuración del dispositivo” se describen los ajustes predeterminados y el manejo del NetScreen-5GT y la configuración necesaria para utilizar el dispositivo con los ajustes predeterminados.

Capítulo 3, en “Descripciones de hardware” se ofrece una vista general de los puertos, los LED y los requisitos de alimentación del NetScreen-5GT.

Apéndice A, en “Especificaciones” se incluye una lista de especificaciones físicas sobre el dispositivo NetScreen-5GT.

CONVENCIONES CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de línea de comandos (CLI)

• Los comandos entre corchetes [ ] son opcionales.• Los comandos entre llaves { } son necesarios.• Si existe más de una posibilidad, cada una aparecerá separada de las demás por

una barra vertical ( | ). Por ejemplo,


significa “establecer las opciones de gestión para la interfaz ethernet1, ethernet2 o ethernet3”.

NetScreen-5GT 23

Prefacio

• Las variables aparecen en cursiva. Por ejemplo,

set admin user name passwordSi un comando CLI aparece en el contexto de una frase, aparecerá en negrita (salvo en el caso de variables, que siempre aparecerán en cursiva). Por ejemplo, “Utilice el comando get system para visualizar el número de serie de un dispositivo NetScreen”.

PUBLICACIONES DE NETSCREENPara obtener la documentación técnica de cualquier producto de NetScreen, visite:


Para obtener la última versión de software, visite: www.netscreen.com/services/download_soft. Seleccione una categoría de productos de software en la lista desplegable y siga las instrucciones que aparezcan en pantalla. (Debe ser usuario registrado para poder descargar el software de NetScreen).

Si encuentra algún error u omisión en esta documentación, póngase en contacto con nosotros a través de la siguiente dirección de correo electrónico:

[email protected]

Nota: Cuando escriba una palabra clave, sólo tendrá que introducir los caracteres suficientes para que la palabra se identifique de forma unívoca. Por ejemplo, si escribe set adm u joe j12fmt54 es suficiente para introducir el comando set admin user joe j12fmt54. Aunque puede utilizar este método para introducir comandos, todos los comandos que se documentan aquí se representan con palabras completas.






1 Capítulo 1

Conexión del dispositivo

En este capítulo se describe la conexión de un dispositivo NetScreen-5GT a la red y a la fuente de alimentación. Para utilizar el kit opcional de montaje en bastidor NetScreen-5GT, consulte las instrucciones para el montaje en bastidor que se incluyen al final de este capítulo.

CONEXIÓN DEL DISPOSITIVO NETSCREEN A LA REDEl dispositivo NetScreen permite establecer una conexión de alta velocidad a un router (enrutador) externo, un módem DSL o un módem de cable, proporcionando protección de cortafuegos y garantizando la seguridad en general en toda la red. Conecte el cable Ethernet suministrado desde el puerto untrusted (no fiable) del dispositivo NetScreen-5GT al router externo o al módem.

El dispositivo NetScreen-5GT contiene cuatro puertos trusted (fiables). Puede utilizar cualquiera de estos puertos para conectar el dispositivo a una LAN a través de un switch (conmutador) o hub (concentrador) interno. También es posible conectar uno o todos los puertos directamente a estaciones de trabajo, sin tener que utilizar un switch o un hub. Puede utilizar cables cruzados o rectos para conectar los puertos del NetScreen-5GT a otros dispositivos.

CONEXIÓN DE LA ALIMENTACIÓNPara conectar la alimentación al dispositivo NetScreen-5GT:

1. Enchufe el conector de CC del cable de alimentación al conector de CC de la parte posterior del dispositivo.

2. Conecte el adaptador de CA (corriente alterna) del cable de alimentación a la fuente de alimentación de CA.

Nota: Para obtener información sobre las advertencias e instrucciones de seguridad, consulte el NetScreen Safety Guide. Las instrucciones incluidas en este manual advierten sobre situaciones que podrían provocar lesiones físicas. Antes de utilizar cualquier equipo, tenga en cuenta los peligros que entraña el sistema de circuitos eléctricos y familiarícese con las prácticas habituales de prevención de accidentes.

Advertencia: NetScreen recomienda utilizar un protector contra sobretensiones en la conexión de alimentación.

NetScreen-5GT 25

Capítulo 1 Conexión del dispositivo

MONTAJE EN BASTIDOR (OPCIONAL)El kit de montaje en bastidor para el NetScreen-5GT permite montar uno o dos dispositivos NetScreen-5GT en un bastidor estándar de 19 pulgadas (48,25 cm). El kit de montaje en bastidor para el NetScreen-5GT incluye estas instrucciones y una bandeja de montaje en bastidor. Las dimensiones de la bandeja son:

• Ancho: 19 pulgadas (48,25 cm)• Alto: 1 5/8 pulgadas (4,12 cm); es decir, 1 RU (rack unit)• Fondo: 10 3/4 pulgadas (27,3 cm)

Además del dispositivo NetScreen-5GT, el kit de montaje y el bastidor, necesitará el siguiente material:

• Destornillador Phillips• Cuatro tornillos con el tamaño adecuado para los orificios del bastidor

Para montar el dispositivo en un bastidor:

1. Utilice el destornillador Phillips para extraer los dos tornillos de la parte inferior de cada dispositivo NetScreen-5GT que desee montar. Los tornillos se encuentran situados en la base del NetScreen-5GT cerca del panel frontal. Conserve los tornillos para utilizarlos en el siguiente paso.

2. Inserte los dispositivos NetScreen-5GT en la bandeja de montaje en bastidor y atorníllelos a la bandeja con los tornillos que extrajo en el paso 1.

Extraiga los tornillos.

Inserte los dispositivos en la

bandeja.

Atornille los dispositivos a la

bandeja.


Montaje en bastidor (opcional)

3. Atornille las lengüetas derecha e izquierda de la bandeja al bastidor.

Puede pasar los cables de alimentación y los cables Ethernet a través de las aberturas situadas en la base de la bandeja o de las depresiones de la parte posterior. También puede utilizar el espacio situado detrás de los dispositivos para colocar fuentes de alimentación. Las fuentes de alimentación conmutadas, que se pueden adquirir por separado, se adaptan fácilmente a un espacio de 1 RU de alto.

Atornille la bandeja al bastidor.

NetScreen-5GT 27

Capítulo 1 Conexión del dispositivo


2 Capítulo 2

Configuración del dispositivo

En este capítulo se describe cómo configurar un NetScreen-5GT después de instalarlo y conectarlo a la red y a una fuente de alimentación. Una vez realizados los ajustes necesarios, los usuarios de la red podrán acceder a Internet a través del dispositivo NetScreen y, al mismo tiempo, los recursos de la red estarán protegidos contra el acceso desde equipos externos.

Nota: Debe registrar el producto en www.netscreen.com/cso para que determinadas servicios de ScreenOS, como el antivirus interno o el servicio de inspección detallada de firmas, se puedan activar en el dispositivo. Después de registrar el producto, utilice la WebUI o CLI para obtener la suscripción al servicio. Si desea obtener más información sobre el registro del producto y adquirir suscripciones a servicios particulares, consulte el capítulo “System Parameters” (parámetros del sistema) del volumen 2 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Nota: Si accede al dispositivo por primera vez mediante la interfaz gráfica ScreenOS WebUI, aparecerá el Initial Configuration Wizard (asistente de configuración inicial) al iniciar la sesión en la WebUI. Este asistente le guiará a lo largo del proceso de configuración descrito en este capítulo. Para obtener más información sobre el acceso al Initial Configuration Wizard (asistente de configuración inicial), consulte el Getting Started Guide (manual de introducción) del NetScreen-5GT.

NetScreen-5GT 29


Capítulo 2 Configuración del dispositivo

AJUSTES PREDETERMINADOSEn esta sección se describen los ajustes predeterminados y el manejo del NetScreen-5GT tal como se suministra de fábrica. Estos ajustes predeterminados están definidos de tal forma que, en la mayoría de los casos, el usuario sólo tiene que configurar pequeños detalles. La siguiente figura muestra la configuración predeterminada del NetScreen-5GT.

La interfaz Untrust está ligada a la zona Untrust y está configurada con la dirección IP 0.0.0.0/0. Para permitir la conexión a Internet desde el dispositivo NetScreen (y los dispositivos de la red), deberá configurar la interfaz Untrust de acuerdo con la información que le haya proporcionado su proveedor de servicios de Internet (ISP). Consulte “Dirección de interfaz Untrust” en la página 31.

Todos los usuarios de la subred pueden administrar el dispositivo NetScreen siempre que conozcan el nombre de usuario y la contraseña. Para cambiar el nombre de usuario y la contraseña predeterminados, consulte “Nombre de usuario y contraseña” en la página 31. Para restringir la administración del dispositivo NetScreen a determinadas estaciones de trabajo, consulte “Restricción de administración” en la página 32.

La interfaz Trust está ligada a la zona Trust y está configurada con la dirección de la subred 192.168.1.1/24. Esto quiere decir que todos los dispositivos de la red conectados a la interfaz Trust deben encontrarse en la misma subred y deben tener direcciones IP en dicha subred. El dispositivo NetScreen también está configurado para asignar direcciones IP para la subred 192.168.1.1/24 a los dispositivos. Para obtener más información, consulte “Dirección de interfaz Trust” en la página 33.

Interfaz Trust192.168.1.1/24

Interfaz Untrust0.0.0.0/0

Zona Trust

Zona Untrust

A Internet

El dispositivo NetScreen asigna direcciones IP a los dispositivos de la red a través de DHCP. Las direcciones se encuentran en el rango 192.168.1.33 - 192.168.1.126.

Se permite el acceso mediante WebUI y Telnet al dispositivo NetScreen desde cualquier dispositivo de la subred.

Se permite el acceso a Internet de cualquier tipo de tráfico originado en la red, pero se prohíbe el acceso a la red de cualquier tipo de tráfico originado en Internet. Router

(Enrutador) externo

Hub (Concentrador)


Ajustes predeterminados

El dispositivo NetScreen permite cualquier tipo de tráfico hacia Internet originado en los dispositivos de la red, pero no permite que ningún tipo de tráfico originado en Internet acceda a la red. Puede configurar restricciones adicionales; consulte “Directivas adicionales” en la página 33.

Configuración requeridaEn esta sección se describe la configuración necesaria para utilizar el NetScreen-5GT con sus ajustes predeterminados.

Dirección de interfaz UntrustDebe configurar una dirección IP para la interfaz Untrust con el fin de permitir que el dispositivo NetScreen se conecte a Internet. Esta dirección IP representa a la red en el mundo exterior y se obtiene del proveedor de servicios de Internet (ISP) mediante uno de los siguientes procedimientos:

• El ISP proporciona una máscara de red y una dirección IP específica y fija para la red.

• La red recibe una dirección IP desde un servidor a través del protocolo de configuración dinámica de servidor (Dynamic Host Configuration Protocol, DHCP).

• La red recibe una dirección IP desde un servidor a través del protocolo punto a punto sobre Ethernet (Point-to-Point Protocol over Ethernet, PPPoE).

Consulte “Configuración de la interfaz Untrust” en la página 36.

Nombre de usuario y contraseñaNetScreen recomienda encarecidamente modificar el nombre de usuario y la contraseña de acceso al dispositivo NetScreen, ya que todos los productos de NetScreen tienen asignados de forma predeterminada el mismo nombre de usuario y la misma contraseña. Consulte “Modificación del nombre de usuario y la contraseña” en la página 36.

Configuración opcionalLas siguientes operaciones de configuración opcionales no se describen detalladamente en este manual. Para obtener más información, consulte las secciones adecuadas del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Nota: Si tiene algún problema durante la configuración y necesita restaurar los ajustes predeterminados del dispositivo, consulte “Restauración de los ajustes predeterminados de fábrica” en la página 37.

NetScreen-5GT 31


Modo de puertoEl modo de puerto es la unión de puertos físicos, interfaces lógicas y zonas. El modo de puerto predeterminado, trusted/untrusted (fiable/no fiable), vincula la interfaz Trust con la zona Trust y la interfaz Untrust con la zona Untrust. Si se modifica el modo de puerto, se cambiarán también estas vinculaciones. Este manual sólo abarca la configuración del dispositivo NetScreen en el modo de puerto trusted/untrusted (fiable/no fiable). Para obtener más información sobre los modos de puerto y cómo modificarlos, consulte el capítulo “Zones” (zonas) del volumen 2 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Restricción de administraciónDe forma predeterminada, todos los usuarios de la red pueden administrar el dispositivo NetScreen siempre que conozcan el nombre de usuario y la contraseña. Puede configurar el dispositivo NetScreen para que sólo pueda administrarlo un host específico de la red. (También puede elegir qué servicios, por ejemplo WebUI, Telnet o ping, van a estar activados en el dispositivo NetScreen). Consulte el capítulo “Administration” (administración) del volumen 3 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Modo de funcionamientoEl modo de funcionamiento es el modo en el que una interfaz de un dispositivo NetScreen procesa el tráfico entre las diversas zonas. De forma predeterminada, el NetScreen-5GT opera en modo de ruta con la traducción de direcciones de red (NAT) activada en la interfaz Trust. Esto quiere decir que, cuando los dispositivos de la zona Trust envían tráfico a Internet, el dispositivo NetScreen reemplaza la dirección IP de origen inicial por la dirección IP de la interfaz Untrust. Si bien el dispositivo NetScreen asigna direcciones IP “privadas” a los dispositivos de la red, estas direcciones permanecerán ocultas a los equipos externos que no formen parte de dicha red.

Si todos los dispositivos de la red tienen direcciones IP públicas, puede configurar el dispositivo NetScreen para que funcione en modo transparente o en modo de ruta con NAT desactivada. En el modo transparente, el dispositivo NetScreen reenvía el tráfico sin comprobar las direcciones IP. En el modo de ruta con NAT desactivada, el dispositivo NetScreen enruta el tráfico comprobando las direcciones IP. Para obtener más información sobre la configuración del dispositivo en modo transparente o en modo de ruta con NAT desactivada, consulte el capítulo “Interface Modes” (modos de interfaz) del volumen 2 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Advertencia: Si se modifica el modo de puerto, se eliminará la configuración existente en el dispositivo NetScreen. Por lo tanto, el modo de puerto se debe cambiar antes de configurar el dispositivo.


Acceso al dispositivo

Dirección de interfaz TrustPuede modificar la dirección IP y la máscara de red de la interfaz Trust si es necesario. (Recuerde que las direcciones IP de los dispositivos de la red nunca están visibles para los equipos externos; los equipos que no forman parte de la red sólo pueden ver la dirección IP de la interfaz Untrust). Por ejemplo, tal vez necesite cambiar la interfaz Trust para que coincida con las direcciones IP ya existentes en la red. Si modifica la dirección IP y la máscara de red de la interfaz Trust, deberá cambiar también el rango de direcciones que el dispositivo NetScreen asigna a los dispositivos de la red a través de DHCP o deshabilitar el servidor DHCP de la interfaz Trust.

Para asignar una dirección IP y una máscara de red distintas a la interfaz Trust, consulte el capítulo “Interfaces” del volumen 2 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Para modificar los ajustes DHCP del dispositivo NetScreen, consulte el capítulo “System Parameters” (parámetros del sistema) del volumen 2 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Directivas adicionalesEl dispositivo NetScreen-5GT está configurado con una directiva predeterminada que permite que las estaciones de trabajo de la red accedan a cualquier tipo de servicio proporcionado por equipos externos, mientras que a los equipos externos se les prohíbe el acceso o el inicio de sesión en las estaciones de trabajo. Es posible configurar directivas que obliguen al dispositivo NetScreen a permitir que los equipos externos inicien determinado tipo de sesiones en los equipos de la red. Para crear o modificar directivas, consulte el capítulo “Policies” (directivas) del volumen 2 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

ACCESO AL DISPOSITIVOPuede configurar y administrar el dispositivo NetScreen-5GT de diversas formas:

• WebUI: ScreenOS WebUI es una interfaz gráfica que está disponible a través de un explorador web. Para utilizar la WebUI debe encontrarse en la misma subred que el dispositivo NetScreen. Consulte “Utilización de la WebUI” en la página 34.

• Telnet: Telnet es una aplicación que permite acceder a dispositivos a través de una red IP. Para acceder y configurar el dispositivo, se introducen comandos de la interfaz de línea de comandos (CLI) de ScreenOS en una sesión Telnet desde la estación de trabajo. Consulte “Utilización de Telnet” en la página 35.

Nota: También puede acceder a dispositivos NetScreen remotos mediante aplicaciones de Shell seguro (Secure Shell/SSH). Para obtener más información, consulte el capítulo “Administration” (administración) del volumen 3 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

NetScreen-5GT 33


• NetScreen-Security Manager 2004 (NSM) y NetScreen Rapid Deployment (RD): Si está utilizando NSM, tiene la posibilidad de configurar los dispositivos NetScreen con RD si lo desea. Consulte el Rapid Deployment Getting Started Guide (manual de introducción de implementación rápida) para obtener más información.

• Conexión de consola: El puerto de consola del dispositivo NetScreen-5GT permite acceder al dispositivo a través de un cable serie conectado a la estación de trabajo o terminal. Para acceder y configurar el dispositivo, se introducen comandos ScreenOS CLI en el terminal o en un programa de emulación de terminal de la estación de trabajo. Consulte “Utilización de una conexión de consola” en la página 35.

Utilización de la WebUIPara utilizar la WebUI debe encontrarse en la misma subred que el dispositivo NetScreen. Para acceder al dispositivo NetScreen-5GT con la aplicación de administración WebUI:

1. Conecte la estación de trabajo (o el hub [concentrador] LAN) al puerto trusted (fiable) tal como se describe en “Conexión del dispositivo NetScreen a la red” en la página 25.

2. Inicie el explorador web, introduzca la dirección IP de la interfaz Trust en el campo de la URL y pulse Enter.

Por ejemplo, si la dirección IP de la interfaz Trust del dispositivo NetScreen es 192.168.1.1/24, introduzca lo siguiente:

192.168.1.1El software NetScreen WebUI mostrará el mensaje de inicio de sesión.

3. Introduzca netscreen en los campos Admin Name y Password y haga clic en Login. (Utilice sólo letras en minúscula. Los campos Admin Name y Password distinguen entre mayúsculas y minúsculas).

Aparecerá la ventana de aplicación NetScreen WebUI. (Si accede al dispositivo por primera vez mediante la WebUI, aparecerá el Initial Configuration Wizard (asistente de configuración inicial); consulte el Getting Started Guide (manual de introducción) del NetScreen-5GT).


Acceso al dispositivo

Utilización de Telnet1. Conecte la estación de trabajo (o el hub [concentrador] LAN) al puerto trusted

(fiable) tal como se describe en “Conexión del dispositivo NetScreen a la red” en la página 25.

2. Inicie una aplicación de cliente Telnet en la dirección IP para la interfaz Trust.

Por ejemplo, si la dirección IP de la interfaz Trust del dispositivo NetScreen es 192.168.1.1/24, introduzca lo siguiente:

192.168.1.13. Introduzca netscreen en los campos login y password. (Utilice sólo letras en

minúscula. Los campos login y password distinguen entre mayúsculas y minúsculas).

Utilización de una conexión de consola

Para establecer una conexión de consola:

1. Inserte el conector hembra DB-9 del cable serie en el puerto serie del equipo. (Asegúrese de que el conector DB-9 esté correctamente alojado en el puerto).

2. Inserte el conector macho DB-9 del cable serie en el puerto de consola del dispositivo NetScreen-5GT. (Asegúrese de que el conector DB-9 esté correctamente alojado en el puerto).

3. Inicie un programa de emulación de terminal serie. (Uno de los programas de terminal que más se utiliza es HyperTerminal de Hilgreave). A continuación se enumeran los ajustes requeridos para iniciar una sesión de consola con el dispositivo NetScreen-5GT:

– Velocidad de transferencia: 9600– Paridad: No– Bits de datos: 8– Bit de parada: 1– Control de flujo: Ninguno

4. Introduzca netscreen en los campos login y password. (Utilice sólo letras en minúscula. Los campos login y password distinguen entre mayúsculas y minúsculas).

Nota: Para la conexión de consola se requiere un cable serie con un conector macho DB-9 en un extremo y un conector hembra DB-9 en el otro.

NetScreen-5GT 35


CONFIGURACIÓN DE LA INTERFAZ UNTRUSTLa red utiliza la interfaz Untrust en el dispositivo NetScreen para la conexión a Internet. Si está configurando la conexión a Internet por primera vez, póngase en contacto con su ISP para obtener una asignación de dirección IP de red.

• Si su ISP le ha proporcionado una máscara de red y una dirección IP fija y específica para la red, configure la máscara de red y la dirección IP de la red y la dirección IP del puerto del router (enrutador) conectado al dispositivo NetScreen. Introduzca los siguientes comandos CLI en una sesión Telnet o de consola:


• Si ha recibido una dirección IP de un servidor a través de DHCP, introduzca los siguientes comandos CLI en una sesión Telnet o de consola:


• Si ha recibido una dirección IP de un servidor a través de PPPoE, configure el nombre de usuario y la contraseña asignados por su ISP. Introduzca los siguientes comandos CLI en una sesión Telnet o de consola:


MODIFICACIÓN DEL NOMBRE DE USUARIO Y LA CONTRASEÑAComo todos los productos de NetScreen tienen predeterminados el mismo nombre de usuario y la misma contraseña (netscreen), es altamente recomendable modificar el nombre de usuario y la contraseña inmediatamente. En una sesión Telnet o de consola, introduzca los siguientes comandos CLI:


Para obtener información sobre cómo crear diferentes niveles de administradores, consulte el capítulo “Administration” (administración) del volumen 3 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

Nota: Si accede al dispositivo por primera vez mediante la interfaz gráfica ScreenOS WebUI, aparecerá el Initial Configuration Wizard (asistente de configuración inicial) al iniciar la sesión en la WebUI. Este asistente le guiará a lo largo del proceso de configuración descrito en este capítulo. Por lo tanto, en este capítulo sólo se muestran los comandos CLI.


Verificación de la conectividad externa

VERIFICACIÓN DE LA CONECTIVIDAD EXTERNAPara verificar que las estaciones de trabajo de la red pueden acceder a los recursos de Internet, inicie un explorador web desde cualquier estación de la red e introduzca la siguiente URL: www.netscreen.com.

RESTAURACIÓN DE LOS AJUSTES PREDETERMINADOS DE FÁBRICA

Si pierde la contraseña de administrador, puede restaurar los ajustes predeterminados del dispositivo NetScreen. De este modo destruirá la configuración existente, pero restablecerá el acceso al dispositivo.

Puede restaurar los ajustes predeterminados del dispositivo mediante uno de los siguientes procedimientos:

• Utilizando una conexión de consola. Para obtener más información, consulte el capítulo “Administration” (administración) del volumen 3 del NetScreen Concepts & Examples ScreenOS Reference Guide (manual de referencia de ScreenOS NetScreen: conceptos y ejemplos).

• Utilizando el orificio de restablecimiento situado en el panel posterior del dispositivo tal como se describe en la sección siguiente.

Advertencia: Si restablece los ajustes de fábrica del dispositivo, se eliminarán todos los ajustes de configuración existentes y se inutilizará el servicio de cortafuegos y VPN existente.

NetScreen-5GT 37



Utilización del orificio de restablecimientoPuede restablecer el dispositivo y restaurar los ajustes predeterminados de fábrica insertando un objeto punzante en el orificio de restablecimiento y presionando ligeramente. Para realizar esta operación, es necesario ver los LED de estado del dispositivo situados en el panel frontal o iniciar una sesión de consola tal como se describe en “Utilización de una conexión de consola” en la página 35.

1. Localice el orificio de restablecimiento situado en el panel posterior. Inserte un alambre rígido y fino (como un clip) en el orificio de restablecimiento, presione hacia dentro entre cuatro y seis segundos y retire el alambre.

El LED de estado parpadea con luz ámbar. Aparece un mensaje en la consola que indica que se ha iniciado el borrado de la configuración. El sistema envía una alerta SNMP/SYSLOG.

2. Espere entre uno y dos segundos.

Después del primer restablecimiento, el LED de alimentación parpadea con luz verde; el dispositivo está a la espera de la segunda pulsación. El mensaje de la consola ahora indica que el dispositivo está a la espera de una segunda confirmación.

3. Introduzca el objeto punzante de nuevo en el orificio y presione hacia dentro entre cuatro y seis segundos.

El LED de estado se enciende con luz ámbar durante medio segundo y, a continuación, la luz pasa a verde intermitente.

4. Se restablecen los ajustes originales de fábrica del dispositivo.

Cuando el dispositivo se restablece, el LED de estado se enciende con luz ámbar durante medio segundo y, a continuación, la luz pasa a verde intermitente. El mensaje de la consola indica que la configuración se ha borrado y que la unidad está restablecida. El sistema genera alarmas SNMP y SYSLOG y las envía a los host de captura SNMP o SYSLOG configurados.

5. El dispositivo se reinicia.

Si no sigue la secuencia completa, el proceso de restablecimiento se cancelará sin que se realice ningún cambio en la configuración. El mensaje de la consola indicará que se ha cancelado el borrado de la configuración. El LED de estado pasará a verde intermitente. Si el dispositivo no se ha restablecido, se enviará una alerta SNMP para confirmar el fallo.

Orificio de restablecimiento


3 Capítulo 3

Descripciones de hardware

En este capítulo se describe el chasis del NetScreen-5GT.

CONECTOR DE ALIMENTACIÓN Y PUERTOSEl panel posterior del dispositivo NetScreen-5GT contiene un conector de alimentación y varios puertos.

El conector DC Power (alimentación de CC) sirve para conectar el NetScreen-5GT a la fuente de alimentación.

El orificio Reset (restablecimiento) permite reiniciar el dispositivo y restablecer sus ajustes de fábrica.

El dispositivo NetScreen-5GT incluye los siguientes puertos:

.

Puerto Descripción Conector Velocidad/protocolo

Console (consola)

Permite la conexión serie con el sistema. Se utiliza para lanzar sesiones de la interfaz de línea de comandos (CLI).

DB-9 9.600 bps/RS-232

Modem (módem)

Puerto de módem a alta velocidad. DB-9 9.600 bps-115 kbps/RS-232

Untrusted (no fiable)

Permite la conexión a Internet a través de un router (enrutador) externo, un módem DSL o un módem de cable.


Puertos 1-4 Permite conectar directamente estaciones de trabajo o una LAN a través de un switch (conmutador) o hub (concentrador). Esta conexión también permite manejar el dispositivo a través de una sesión Telnet o de la aplicación de gestión por WebUI.


Advertencia: Nunca conecte un circuito TNV (línea telefónica o RDSI) directamente al puerto de módem del dispositivo NetScreen-5GT. En primer lugar debe conectar el dispositivo a un módem utilizando uno de los puertos RS-232 y, a continuación, conectar el módem al circuito TNV.

NetScreen-5GT 39

Capítulo 3 Descripciones de hardware

LEDS DE ESTADOEl panel frontal del dispositivo NetScreen-5GT presenta LEDs de alimentación y estado para el dispositivo y LEDs de estado para los puertos.

Interpretación de los LEDs de estado del dispositivoLos LEDs de estado del dispositivo indican si éste funciona correctamente. La siguiente tabla describe las posibilidades de cada uno de ellos.

Interpretación de los LEDs de estado de los puertosLos LEDs de estado de los puertos indican si los puertos del dispositivo funcionan correctamente. La siguiente tabla describe las posibilidades de cada uno de ellos.

LED Color SignificadoPOWER (alimentación)

Verde Continuo: indica que el sistema recibe alimentación.

Apagado Apagado: indica que el sistema no recibe alimentación.STATUS (estado)

Ámbar Continuo: indica que el sistema se está iniciando.

Verde Intermitente: indica que el sistema está en funcionamiento.Rojo Intermitente: indica un error de diagnóstico o de inicio del sistema.Apagado Apagado: indica que el sistema no está en funcionamiento.

LED Color SignificadoLink/Activity (enlace/actividad)

Verde Intermitente: indica que el dispositivo ha detectado tráfico Ethernet en el puerto. Apagado: indica que el puerto no ha establecido ninguna conexión a otro dispositivo.Continuo: indica que el puerto ha establecido una conexión a otro dispositivo.

10/100 Verde Continuo: indica que el puerto está conectado a un dispositivo 100 Base-T.

Ámbar Continuo: indica que el puerto está conectado a un dispositivo 10 Base-T.

LEDs de estado de los puertosLED de estadoLED de alimentación


NetScreen-5GT 41

A Apéndice A

EspecificacionesEn este apéndice se muestran las especificaciones generales del dispositivo NetScreen-5GT.

Dimensiones

Alto 1,125 pulgadas (2,857 cm)

Fondo 5 pulgadas (12,7 cm)

Ancho 8,25 pulgadas (20,95 cm)

Peso 1,3 libras (590 g)

Características eléctricas Regulador conmutado Regulador lineal

Voltaje de CA (corriente alterna): 100-240 V CA+/- 10% 50/60 HzPotencia de CA: 12 WVoltaje de CC: 12 V

Voltaje de CA: 120 V CA+/- 10% 50/60 HzPotencia de CA: 12 WVoltaje de CC: 12 V

Condiciones ambientales

Temperatura Funcionamiento

Altitud normal 0°-40° C, 32-105° F

Humedad relativa 10-90%

Sin condensación 10-90%

La altitud normal máxima es de 12.000 pies (0-3.660 metros).

Certificaciones Seguridad EMI

ULCULCSACECBAustel

FCC Parte 15 Clase BVCCICTICBSMI

Conectores Los puertos RJ-45 para cable de par trenzado son compatibles con la norma IEEE 802.3 Tipo 10/100 Base-T

Estándar 100 Base-TX

Tipo de medio Cable de par trenzado sin blindaje (UTP) de categoría 5 o superior

Distancia máxima 328 pies (100 metros)

Apéndice A Especificaciones


目次はじめに ...............................................................................................................45

本書の構成 ................................................................................................ 45

CLI の規則 ................................................................................................. 45

NetScreen の刊行物 .................................................................................. 46

第 1 章デバイスの接続 .........................................................................................47

NetScreen デバイスのネットワークへの接続 ........................................... 47

電源の接続 ................................................................................................ 47

ラックの取り付け ( オプション ): .............................................................. 47

第 2 章デバイスの構成 .........................................................................................49

デフォルトの設定 ..................................................................................... 50

デバイスのアクセス .................................................................................. 53

Untrust インターフェースの構成 ............................................................... 55

ログイン名およびパスワードの変更 ......................................................... 56

外部との接続性の確認 .............................................................................. 56

デバイスを工場出荷時のデフォルト設定にリセットする .......................... 56

第 3 章ハードウェアの説明 ..................................................................................59

ポートと電源のコネクタ ........................................................................... 59

状況 LED .................................................................................................... 60

付録 A 仕様 ...........................................................................................................61

NetScreen-5GT 43

目次

44 ユーザーズガイド

はじめに

NetScreen-5GT デバイスでは IPSec VPN とファイアウォールのサービスをブロードバンド使用の在宅勤務者、支店、販売店向けに提供しています。NetScreen-5GT デバイスは NetScreen アプライアンスの製品ラインナップの中ではエントリレベルながら、NetScreen の中央側ハイエンド製品に装備されているファイアウォール、VPN およびトラフィック管理の同じテクノロジーを駆使しています。

NetScreen では NetScreen-5GT デバイスの 3 つのバージョンを用意しています。

• 最高 10 人までのユーザーをサポートする 10 ユーザーバージョン。

• Plus バージョンでは無制限のユーザー数をサポートします。

• Extended バージョンは、Plus バージョンと同じ機能を持ち、さらに次の追加機能を含みます：高可用性 (NSRP Lite)、DMZ セキュリティゾーン、追加セッションとトンネル能力

本書の構成本書の構成本書の構成本書の構成本書は 3 つの章と 1 つの付録により構成されています。

第 1 章 , 「デバイスの接続」では、ラック内の NetScreen-5GT デバイスのネットワークへの接続方法と電源への接続方法について説明します。

第 2 章 , 「デバイスの構成」では、NetScreen-5GT のデフォルトの設定と操作およびデフォルトの設定でデバイスを使用するのに必要な構成について説明します。

第 3 章 , 「ハードウェアの説明」では、NetScreen-5GT のポート、LED および電源要件についての概要をカバーしています。

付録 A, 「仕様」では、NetScreen-5GT デバイスの物理仕様の一覧があります。

CLI CLI CLI CLI の規則の規則の規則の規則次にある規則はコマンドラインインターフェース (CLI) コマンドの構文を記載する際に使用されます。

• 角括弧 [ ] 内にあるものはすべてオプションです。

• 中括弧 { } 内にあるものはすべて必須です。

• 1 つ以上の選択肢がある場合には、各選択肢はパイプ ( | ) で区切られています。例えば、


では、「ethernet1、ethernet2 または ethernet3 のインターフェースに管理オプションを設定する」という意味になります。

NetScreen-5GT 45

• :set admin user name password

CLI () NetScreen

get system

NNNNEEEETTTTSSSSCCCCRRRREEEEEEEENNNNNetScreen Web


Web www.netscreen.com/services/download_soft.

(NetScreen )

E

[email protected]

set admin user joe j12fmt54 setadm u joe j12fmt54

46





1ëÊ1èÕ

NetScreen-5GT NetScreen-5GT

NNNNEEEETTTTSSSSCCCCRRRREEEEEEEENNNNDSL

NetScreen-5GT

NetScreen-5GT 4 1 LAN 1

NetScreen-5GT

NetScreen-5GT

1. DC DC

2. AC AC

( ( ( ( ):):):):NetScreen-5GT 19 NetScreen-5GT 1 2 NetScreen-5GT

: 19 48.25 cm

: 1 5/8 4.12 cm 1 RU ( )

: 10 3/4 27.3 cm

NetScreen Safety Guide

NetScreen

NetScreen-5GT 47

1

NetScreen-5GT

4

1. NetScreen-5GT 2 NetScreen-5GT

( )

2. NetScreen-5GT 1

3.

( ) 1 RU

48

2ëÊ2èÕ

NetScreen-5GT

NetScreen 5GT

ScreenOS

www.netscreen.com/cso WebUICLI

NetScreen ScreenOS 2

ScreenOS WebUI WebUI Initial Configuration Wizard

Initial Configuration Wizard NetScreen-5GT Getting Started Guide

NetScreen-5GT 49


2

NetScreen-5GT

NetScreen-5GT

Untrust Untrust IP 0.0.0.0/0 NetScreen ( )

ISP (Internet Service Provider, ) Untrust

51 Untrust

NetScreen 51

NetScreen 52

Trust Trust 192.168.1.1/24 Trust

IP NetScreen 192.168.1.1/24 IP

52 Trust

NetScreen

53

Trust

192.168.1.1/24

Untrust

0.0.0.0/0

Trust

Untrust

NetScreen DHCP IP

192.168.1.33192.168.1.126

WebUI Telnet NetScreen

50

NetScreen-5GT

Untrust Untrust IP NetScreen

IP (ISP)

• ISP IP

• DHCP (Dynamic Host Configuration Protocol, ) IP

• PPPoE (Point-to-Point Protocol over Ethernet) IP

55 Untrust

NetScreen NetScreen NetScreen

56

NetScreen ScreenOS

Trust-Untrust Trust Trust Untrust Untrust

Trust-Untrust NetScreen


56

NetScreen

NetScreen-5GT 51

2

NetScreen NetScreen

( NetScreen WebUI Telnetping ) NetScreen ScreenOS 3

NetScreenNetScreen-5GT Trust NAT

(Network Address Translation, )Trust

NetScreen IP Untrust IP NetScreen IP

IP NAT NetScreen

NetScreen IP NATNetScreen IP

NAT NetScreen ScreenOS

2

Trust Trust IP (

IP Untrust

IP ) IP Trust Trust

IP NetScreen DHCP Trust

DHCP

Trust IP NetScreen ScreenOS 2

NetScreen DHCP NetScreen ScreenOS 2

52

NetScreen-5GT

NetScreen NetScreen ScreenOS

2

NetScreen-5GT

• WebUI: ScreenOS WebUI Web WebUI NetScreen

53 WebUI

• Telnet: Telnet IP

Telnet ScreenOS CLI (Command Line Interface, ) 54 Telnet

• NetScreen-Security Manager 2004 (NSM) NetScreen Rapid Deployment (RD): NSM NetScreen RD

Rapid Deployment Getting Started Guide

• : NetScreen-5GT

ScreenOS CLI 54

WebUI WebUI NetScreen

WebUI NetScreen-5GT

1. 47 NetScreen ( LAN )

2. URL Trust IP Enter

SSH (Secure Shell) NetScreen NetScreen

ScreenOS

NetScreen-5GT 53

2

NetScreen Trust IP 192.168.1.1/24

192.168.1.1NetScreen WebUI

3. [Admin Name] ( ) [Password] ( )netscreen [Login] ( )

)

NetScreen WebUI (WebUI Initial Configuration Wizard

NetScreen-5GT Getting Started Guide )

Telnet 1. 47 NetScreen

( LAN )

2. Trust IP Telnet

NetScreen Trust IP 192.168.1.1/24

192.168.1.13. [login] ( ) [password] ( )

netscreen

1. DB-9 (DB-9 )

DB-9 DB-9

54

Untrust

2. DB-9 NetScreen-5GT (DB-9

)

3. ( Hilgreave HyperTerminal ) NetScreen-5GT

– : 9600

– :

– : 8

– : 1

– :

4. [login] ( ) [password] ( )netscreen

)

UUUUNNNNTTTTRRRRUUUUSSSSTTTT NetScreen Untrust

IP ISP

• ISP IP IP NetScreen

IP Telnet CLI


• DHCP IP Telnet CLI


• PPPoE IP ISP Telnet

CLI set pppoe interface untrustset pppoe username name_str password pswd_strsave

ScreenOS WebUI WebUI Initial Configuration Wizard

CLI

NetScreen-5GT 55

2

NetScreen (netscreen)Telnet

CLI



Web URL www.netscreen.com

NetScreen

• NetScreen ScreenOS 3

•

VPN

56


LED 54

1.( ) 4 6

LED SNMP/SYSLOG

2. 1 2

1 LED 2

3. 4 6

LED

4.

LED

SYSLOG SNMP SNMP SYSLOG

5.

LED SNMP

NetScreen-5GT 57

2

58

3ëÊ3èÕ

NetScreen-5GT

NetScreen-5GT

DC NetScreen-5GT

NetScreen-5GT

.

/

Console ( ) (CLI)

DB-9 9600 bps/RS-232

Modem ( )

DB-9 9600 bps 115 Kbps/RS-232

Untrusted DSL RJ-45 10/100 Mbps/

1 4 LAN Telnet

WebUI

RJ-45 10/100 Mbps/

TNV ( ) ( ISDN ) NetScreen-5GT RS-232

TNV

NetScreen-5GT 59

3

LEDLEDLEDLEDNetScreen-5GT LED LED

LED

LED LED LED

LED LED

LED LED LED

POWER ( )

STATUS ( )

LED LED LED

Link/Activity( /

)

10/100 100 Base-T

10 Base-T

LED LED LED

60

NetScreen-5GT 61

Aïtò^ A

NetScreen-5GT

1.125 2.857 cm

5 12.7 cm

8.25 20.95 cm

1.3 590 g

AC : 100 240 VAC+/- 10% 50/60 HzAC : 12 WDC : 12 V

AC : 120 VAC+/- 10% 50/60 HzAC : 12 WDC : 12 V

0°-40°C, 32-105°F

10-90%

10-90%

12,000 (0 3,660 m)

(EMI)

ULCULCSACECBAustel

FCC Part 15 class BVCCICTICBSMI

RJ-45 IEEE 802.3 10/100 Base-T

100Base-TX

5 UTP (Unshielded Twisted Pair,

)

328 100 m

付録 A 仕様

62 ユーザーズガイド

目录

前言 ......................................................................................................................65

组织 .......................................................................................................... 65

CLI 约定 .................................................................................................... 65

NetScreen 出版物 ..................................................................................... 66

第 1 章连接设备 ...................................................................................................67

连接 NetScreen 设备至网络 ...................................................................... 67

连接电源 ................................................................................................... 67

机架安装（可选） ..................................................................................... 67

第 2 章配置设备 ...................................................................................................69

缺省设置 ................................................................................................... 70

访问设备 ................................................................................................... 73

配置 Untrust 接口 ....................................................................................... 75

更改登录名和密码 ..................................................................................... 76

验证外部连通性 ......................................................................................... 76

重置设备到出厂缺省设置 ........................................................................... 76

第 3 章硬件说明 ...................................................................................................79

端口和电源连接器 ..................................................................................... 79

状态 LED .................................................................................................... 80

附录 A 规范 ...........................................................................................................81

NetScreen-5GT 63

目录

64 使用手册

前言

NetScreen-5GT 设备为宽带远程通信者、分支机构、或零售渠道提供 IPSec VPN 和防火墙服

务。虽然是 NetScreen 设备系列产品的入门级产品，但 NetScreen-5GT 设备使用与 NetScreen

的高端中心点产品相同的防火墙、 VPN 和流量管理技术。

NetScreen 提供 NetScreen-5GT 设备的两个版本。

• 10 用户版本最多支持 10 个用户。

• Plus 版本支持不限数量的用户。

• Extended 版本提供与具有附加功能的 Plus 版本相同的功能：高可用性 (NSRP

Lite)、 DMZ 安全区段、以及附加会话和通道容量。

组织本手册有三章和一个附录。

第 1 章，“连接设备” 说明如何将 NetScreen-5GT 设备安装至机架、连接设备至网络、和连接

电源。

第 2 章，“配置设备” 说明 NetScreen-5GT 缺省设置和操作以及使用带有缺省设置的设备所需

的配置。

第 3 章，“硬件说明”提供有关 NetScreen-5GT 端口、 LED 和电源要求的概述。

附录 A，“规范” 提供有关 NetScreen-5GT 设备物理规格的列表。

CLI 约定

当出现命令行界面 (CLI) 命令的语法时，使用以下约定：

• 在中括号 [ ] 中的任何内容都是可选的。

• 在大括号 { } 中的任何内容都是必需的。

• 如果选项不止一个，则使用管道 ( | ) 分隔每个选项。例如，


意味着“设置 ethernet1、 ethernet2 或 ethernet3 接口的管理选项”。

NetScreen-5GT 65

前言

• 变量以斜体方式出现。例如：

set admin user name password

当 CLI 命令在句子的上下文中出现时，应为粗体（除了始终为斜体的变量之外）。例如：“使

用 get system 命令显示 NetScreen 设备的序列号”。

NETSCREEN 出版物要获取任何 NetScreen 产品的技术文档，请访问：

www.netscreen.com/resources/manuals/。

要获得最新的软件版本，请访问：www.netscreen.com/services/download_soft。从下拉列表

中选择软件产品的类别，然后遵循显示的说明操作。（欲下载 NetScreen 软件，您必须是注册

用户。）

如果在以下内容中发现任何错误或遗漏，请用下面的电子邮件地址与我们联系：

[email protected]

注意：当键入关键字时，只需键入足够的字母就可以唯一地标识单词。例如，要输入命令 set

admin user joe j12fmt54，键入 set adm u joe j12fmt54 就足够了。尽管输入命令时可以使

用此捷径，本文所述的所有命令都以完整的方式提供。

66 使用手册




1µ⁄ 1 ’¬

连接设备

本章介绍如何连接 NetScreen-5GT 设备至网络以及如何连接电源。如果使用可选的 NetScreen-5GT 机架安装套件，请参阅本章结尾包含的机架安装说明。

连接 NETSCREEN 设备至网络可以建立高速连接到外部路由器、DSL 调制解调器、或电缆调制解调器，并为网络提供防火墙和通用安全保障。将随附的以太网电缆从 NetScreen-5GT 设备上的 Untrust 端口连接到外部路由器或调制解调器。

NetScreen-5GT 设备包含四个 Trust 端口。可以使用其中一个端口通过内部交换机或集线器连接设备至 LAN。也可以直接将一个或所有的端口连接到工作站，而无需使用集线器或交换机。可以使用交叉电缆或直通电缆连接 NetScreen-5GT 端口至其它设备。

连接电源连接电源至 NetScreen-5GT 设备：

1. 将电源线的 DC 连接器端插入设备后面的 DC 电源插座。

2. 将电源线的 AC 适配器端插入 AC 电源。

机架安装（可选）使用 NetScreen-5GT 机架安装套件，可以将一个或两个 NetScreen-5GT 设备安装到一个标准的 19 英寸设备机架中。 NetScreen-5GT 机架安装套件包括说明和机架安装底盘。底盘的尺寸如下：

• 宽：19 英寸（48.25 厘米）

• 高：1 5/8 英寸（4.12 厘米），也就是 1 RU （机架单位）

• 深：10 3/4 英寸（27.3 厘米）

注意：有关安全警告和说明，请参阅 NetScreen Safety Guide（NetScreen 安全指南）。此

指南中的说明警告您哪些情况可能会造成人身伤害。在使用任何设备之前，请注意由电路引发的危险以及熟悉标准操作以防止意外事故的发生。

警告： NetScreen 推荐将电涌保护器用于电源连接。

NetScreen-5GT 67

第 1 章连接设备

除了 NetScreen-5GT 设备、机架安装套件和设备机架之外，还需要以下工具：

• 十字螺丝刀。

• 四个与设备机架螺纹尺寸匹配的螺丝。

在机架内安装设备：

1. 使用十字螺丝起子从每台要安装的 NetScreen-5GT 设备下侧卸下两个螺丝。螺丝位于 NetScreen-5GT 下侧接近前面板的位置。（保留螺丝以备下一步使用）

2. 将 NetScreen-5GT 设备装入机架安装盘并使用步骤 1 卸下的螺丝将其固定在底盘中。

3. 用螺丝将左侧和右侧底盘金属板固定到设备机架上。

可以将电源线或以太网电缆穿过底盘平板的开口或后壁上的凹陷。也可以使用设备后面的空间放置电源。开关电源可以分别订购，它们很容易适合 1-RU 的高度空间。

卸下螺丝。

将设备装入底盘。

用螺丝将设备固定在底盘中。

用螺丝将底盘固定到机架上。

68 使用手册

2µ⁄ 2 ’¬

配置设备

本章介绍在安装和连接 NetScreen-5GT 到网络和电源之后如何配置它。完成了必要的配置之后，网络中的用户就可以通过 NetScreen 设备访问互联网，同时网络内部的资源就可以得到保护，不受外部计算机的影响。

注意：必须在 www.netscreen.com / cso 上注册产品以便某些 ScreenOS 服务（例如防病毒

或深层检查签名服务）可以在设备中被激活。在注册完产品之后，使用 WebUI 或 CLI 获得

对服务的预订。有关注册产品和获得对特定服务的预订的详细信息，请参阅“NetScreen 概念与范例 ScreenOS 参考指南”第 2 卷的 “系统参数”一章。

注意：如果是第一次使用 ScreenOS WebUI 图形界面访问设备，在登录到 WebUI 时会出现

Initial Configuration Wizard （初始配置向导）。此“向导”会指导您完成本章所描述的配

置步骤。有关启动 Initial Configuration Wizard （初始配置向导）的详细信息，请参阅 NetScreen-5GT 的 Getting Started Guide （入门指南）。

NetScreen-5GT 69


第 2 章配置设备

缺省设置本章介绍 NetScreen-5GT 出厂的缺省设置和操作。这些缺省设置在大部分情况下只有几项必

须配置。下图显示了 NetScreen-5GT 的缺省配置。

将 Untrust 端口绑定至 Untrust 区段并将 IP 地址配置为 0.0.0.0/0。要允许 NetScreen 设备

（和网络中的设备）连接到互联网，必须根据从“互联网服务提供商”(ISP) 那里获取的信息来

配置 Untrust 端口。请参阅第 71 页“Untrust 端口地址” 。

如果知道登录名和密码，子网络中的任何用户都可以管理 NetScreen 设备。要更改缺省登录名

和密码，请参阅第 71 页“登录名和密码” 。要限制对特定工作站 NetScreen 设备的管理，请

参阅第 72 页“限制管理” 。

将 Trust 端口绑定至 Trust 区段并将其配置为子网络地址 192.168.1.1/24。这意味着网络中连

接到 Trust 端口的所有设备必须在相同的子网络中并且有该子网络的 IP 地址。也会配置

NetScreen 设备将 192.168.1.1/24 子网络的 IP 地址指派给设备。有关详细信息，请参阅第 72

页“Trust 端口地址” 。

NetScreen 设备允许源自网络设备的任何类型的信息流进入互联网，但不允许任何源自互联网

的信息流进入网络。可配置额外限制，请参阅第 73 页“额外策略” 。

Trust 端口192.168.1.1/24

Untrust 端口0.0.0.0/0

Trust 区段

Untrust 区段

到互联网

NetScreen 设备通过

DHCP 为网络中的设备指派 IP 地址。地址的范围在 192.168.1.33 -

192.168.1.126 之间。

允许从子网络中的任何设备对 NetScreen 设备进行 WebUI 和 Telnet 访问。

源自网络的各种类型的信息流允许进入互联网，但源自互联网的信息流不允许进入网络。

外部路由器

集线器

70 使用手册

缺省设置

所需的配置本章介绍使用带有缺省设置的 NetScreen-5GT 必须完成的配置。

Untrust 端口地址

必须为 Untrust 端口配置一个 IP 地址以便使 NetScreen 设备可以连接到互联网。此 IP 地址

对外代表网络并且可以用以下方式中的一种从“互联网服务提供商” (ISP) 处获得：

• ISP 将为网络提供一个特定、固定的 IP 地址和网络掩码。

• 网络通过“动态主机配置协议协议” (DHCP) 从服务器接收 IP 地址。

• 网络通过“以太网点对点协议” (PPPoE) 从服务器接收 IP 地址。

请参阅第 75 页“配置 Untrust 端口” 。

登录名和密码

由于所有 NetScreen 产品使用相同的缺省登录名和密码，因此 NetScreen 强烈建议更改

NetScreen 设备的登录名和密码。请参阅第 76 页“更改登录名和密码” 。

可选的配置在本手册中没有对以下的可选配置进行详细介绍。请参阅“NetScreen 概念与范例 ScreenOS

参考指南”中的相应章节以获取详细信息。

端口模式

端口模式是物理端口、逻辑接口和区段的绑定。缺省端口模式 (Trust-Untrust) 将 Trust 端口

绑定至 Trust 区段并且将 Untrust 端口绑定至 Untrust 区段。更改端口模式就会更改绑定关

系。本手册仅仅介绍以 Trust-Untrust 端口模式配置 NetScreen 设备。有关端口模式以及如何

更改它们的详细信息，请参阅“NetScreen 概念与范例 ScreenOS 参考指南”第 2 卷的“区

段”一章。

注意：如果在完成配置的过程中有任何问题或需要将设备恢复为缺省设置，请参阅第 76 页

“重置设备到出厂缺省设置” 。

警告：更改端口模式会删除 NetScreen 设备上任何现有的配置。因此，请在配置设备之前更

改端口模式。

NetScreen-5GT 71


限制管理

缺省情况下，如果知道登录名和密码，网络中的任何用户都可以管理 NetScreen 设备。可以配

置 NetScreen 设备使其仅由网络中特定主机来管理。（并且可以选择要在 NetScreen 设备中启

用哪一种服务－例如，WebUI、Telnet、Ping。）请参阅“NetScreen 概念与范例 ScreenOS

参考指南”第 3 卷的“管理”一章。

操作模式

操作模式是 NetScreen 设备上接口处理区段之间信息流的方式。缺省情况下，NetScreen-5GT

以路由模式进行操作，同时在 Trust 端口启用网络地址转换 (NAT)。这意味着当 Trust 区段中

的设备发送信息流到互联网时，NetScreen 设备使用 Untrust 端口的 IP 地址替换初始 IP 源地

址。同时 NetScreen 设备为网络中的设备指派“私有” IP 地址，这些地址将对网络外部的计

算机保密。

如果网络中所有的设备都有公开 IP 地址，就可以将 NetScreen 设备配置为“透明”模式或不

启用 NAT 的“路由”模式。在“透明”模式下， NetScreen 设备转发信息流而不检查 IP 地

址。在不启用 NAT 的“路由”模式下，NetScreen 设备通过检查 IP 地址来转发信息流。有关

配置设备为“透明”模式或不启用 NAT 的“路由”模式的详细信息，请参阅“NetScreen 概

念与范例 ScreenOS 参考指南”第 2 卷中的“接口模式”一章。

Trust 端口地址

必要时，可以更改 Trust 端口的 IP 地址和网络掩码。（切记：网络外部的计算机始终看不到网

络中设备的 IP 地址，外部计算机看到的仅仅是 Untrust 端口的 IP 地址。）例如，您可能需要

更改 Trust 端口以匹配网络中现有的 IP 地址。如果更改 Trust 端口的 IP 地址和网络掩码，也

需要更改 NetScreen 设备通过 DHCP 指派给网络设备的地址范围，或者禁用在 Trust 端口上

的 DHCP 服务器。

要为 Trust 端口指派一个不同的 IP 地址和网络掩码，请参阅“NetScreen 概念与范例

ScreenOS 参考指南”第 2 卷的“接口”一章。

要更改 NetScreen 设备的 DHCP 设置，请参阅“NetScreen 概念与范例 ScreenOS 参考指南”

第 2 卷的“系统参数”一章。

72 使用手册

访问设备

额外策略

虽然不允许使用外部计算机访问或启动工作站的会话，但是使用缺省策略配置的 NetScreen-5GT

设备允许网络中的工作站访问外部计算机的任何种类服务。可以配置指导 NetScreen 设备的策

略，允许外部计算机启动与网络中计算机的特定种类的会话。要创建或修改策略，请参阅

“NetScreen 概念与范例 ScreenOS 参考指南”第 2 卷的“策略”一章。

访问设备可以用几种方法配置和管理 NetScreen-5GT 设备。

• WebUI：ScreenOS WebUI 是一个可以通过 Web 浏览器使用的图形接口。要使用

WebUI，您必须处于 NetScreen 设备的同一子网络中。请参阅第 73 页“使用

WebUI” 。

• Telnet：Telnet 是一个用于通过 IP 网络访问设备的应用程序。要访问和配置设备，

请在工作站的 Telnet 会话中输入 ScreenOS“命令行界面” (CLI) 命令。请参阅第

74 页“使用 Telnet” 。

• NetScreen-Security Manager 2004 (NSM) 和 NetScreen Rapid Deployment (RD)：

如果正在使用 NSM，可以用 RD 可选地配置 NetScreen 设备。请参考 Rapid

Deployment Getting Started Guide （快速部署入门指南）以获得详细信息。

• 控制台连接：NetScreen-5GT 设备上的“控制台”端口用于通过连接到工作站或终

端的串行电缆来访问设备。要访问和配置设备，请在终端或工作站上的终端仿真程序

中输入 ScreenOS CLI 命令。请参阅第 74 页“使用控制台连接” 。

使用 WebUI

要使用 WebUI，您必须处于 NetScreen 设备的同一子网络中。要访问使用 WebUI 管理应用程

序的 NetScreen-5GT 设备：

1. 连接工作站（或 LAN 集线器）到 Trust 端口，如第 67 页“连接 NetScreen 设备

至网络” 中所述。

2. 启动浏览器，为 URL 字段中的 Trust 端口输入 IP 地址，然后按 Enter。

注意：也可以使用“安全外壳” (SSH) 应用程序访问远程 NetScreen 设备。请参

阅“NetScreen 概念与范例 ScreenOS 参考指南”中的管理卷以获取详细信息。

NetScreen-5GT 73


例如，如果 NetScreen 设备上 Trust 端口的 IP 地址是 192.168.1.1/24，请输入以下

内容：

192.168.1.1

NetScreen WebUI 软件显示登录提示。

3. 在 Admin Name （Admin 名称）和 Password （密码）字段都输入 netscreen，然

后单击 Login （登录）。（仅使用小写字母。“Admin 名称”和“密码”字段都区分

大小写。）

NetScreen WebUI 应用程序窗口将出现。（如果第一次使用 WebUI 访问设备，会

出现 Initial Configuration Wizard（初始配置向导）；请参阅 NetScreen-5GT 的

Getting Started Guide（入门指南）。）

使用 Telnet

1. 连接工作站（或 LAN 集线器）到 Trust 端口，如第 67 页“连接 NetScreen 设备

至网络” 中所述。

2. 启动 Telnet 客户端应用程序至 Trust 端口的 IP 地址。

例如，如果 NetScreen 设备上 Trust 端口的 IP 地址是 192.168.1.1/24，请输入以下

内容：

192.168.1.1

3. 在 login （登录名）和 password （密码）提示中都输入 netscreen。（仅使用小写

字母。登录名和密码字段都区分大小写。）

使用控制台连接

建立控制台连接：

1. 将串行电缆的凹 DB-9 一端插入计算机的串行端口。（确保 DB-9 连接器正确地插在

端口上。）

2. 将串行电缆的凸 DB-9 一端插入 NetScreen-5GT 设备的“控制台”端口。（确保

DB-9 连接器正确地插在端口上。）

注意：对于控制台连接，需要一条串行电缆，一端带有凸 DB-9 连接器另一端带有凹 DB-9

连接器。

74 使用手册

配置 Untrust 端口

3. 启动串行终端仿真程序。（通用的终端程序是 Hilgreave HyperTerminal。）启动

NetScreen-5GT 设备的控制台会话所需的设置如下：

– 波特率：9600

– 奇偶：无

– 数据位：8

– 停止位：1

– 流量控制：无

4. 在 login （登录名）和 password （密码）提示中都输入 netscreen。（仅使用小写

字母。登录名和密码字段都区分大小写。）

配置 UNTRUST 端口

网络使用 NetScreen 设备上的 Untrust 端口连接互联网。如果是第一次设置互联网连接，请与

ISP 联系以获取有关网络 IP 地址指派的信息。

• 如果 ISP 给定了网络的特定、固定的 IP 地址和网络掩码，请配置网络的 IP 地址和网

络掩码以及连接 NetScreen 设备的路由器端口的 IP 地址。在 Telnet 或“控制台”

会话中输入以下的 CLI 命令：

set interface untrust ip ip_addr/maskset interface untrust gateway ip_addr

save

• 如果网络通过 DHCP 接收到来自于服务器的 IP 地址，请在 Telnet 或“控制台”会

话中输入 CLI 命令：

set interface untrust dhcp client enable

save

• 如果网络通过 PPPoE 接收到来自于服务器的 IP 地址，请配置 ISP 指派的用户名及

密码。在 Telnet 或“控制台”会话中输入以下的 CLI 命令：

set pppoe interface untrust

set pppoe username name_str password pswd_strsave

注意：如果是第一次使用 ScreenOS WebUI 图形接口访问设备，在登录到 WebUI 时

Initial Configuration Wizard（初始配置向导）会出现，指导您完成本章所描述的配置步

骤。因此，仅 CLI 命令显示在本章中。

NetScreen-5GT 75


更改登录名和密码因为所有的 NetScreen 产品使用相同的缺省登录名和密码 (netscreen)，因此立即更改登录名

和密码是很明智的。在 Telnet 或“控制台”会话中，输入以下的 CLI 命令：

set admin name name_strset admin password pswd_str

save

有关创建不同管理员级别的信息，请参阅“NetScreen 概念与范例 ScreenOS 参考指南”第 3

卷的“管理”一章。

验证外部连通性要验证网络中的工作站能否访问互联网中的资源，请从网络中的任何工作站启动 Web 浏览器并

输入以下的 URL：www.netscreen.com。

重置设备到出厂缺省设置如果丢失了管理密码，可以重置 NetScreen 设备到缺省设置。这会破坏任何现有的配置，但可

恢复对设备的访问。

可以使用以下方式中的一种恢复设备到缺省设置：

• 使用控制台连接。请参阅“NetScreen 概念与范例 ScreenOS 参考指南”第 3 卷的

“管理”一章以获取详细信息。

• 使用设备后面板上的重置针孔，如以下一节所述。

警告：重置设备会删除所有现有的配置并且会使现有的防火墙和 VPN 服务不可用。

76 使用手册


重置设备到出厂缺省设置

使用重置针孔按压重置针孔可以重置设备并恢复出厂缺省设置。要执行此操作，需要查看前面板上的设备状

态 LED 或具有如第 74 页“使用控制台连接” 中所述的“控制台”会话。

1. 找出后面板上的重置针孔。使用又细又硬的金属丝（例如回形针），推压针孔四至六

秒然后松开。

状态 LED 闪烁琥珀黄色。“控制台”上的消息声明已经开始删除配置并且系统发出

一个 SNMP/SYSLOG 警示。

2. 等待一至二秒。

在第一次重置之后，电源 LED 闪烁绿色；设备正等待第二次推压。“控制台”消息

现在声明设备正等待第二次确认。

3. 再次推压重置针孔四至六秒。

状态 LED 亮琥珀黄色半秒，然后返回到闪烁绿色状态。

4. 设备重置到原始的出厂设置。

当设备重置时，状态 LED 变为琥珀黄色半秒，然后返回到闪烁绿色状态。“控制台”

消息声明配置被删除并且设备被重置。系统产生 SNMP 和 SYSLOG 警示，发给已配

置的 SYSLOG 或 SNMP 陷阱主机。

5. 设备重启。

如果不遵循完整的程序，重置过程会取消且不更改任何配置，同时控制台消息声明已中止删除

配置。状态 LED 返回到闪烁绿色状态。如果设备没有重置，则 SNMP 警示被发送以确认失败。

重置针孔

NetScreen-5GT 77


78 使用手册

3µ⁄ 3 ’¬

硬件说明

本章提供 NetScreen-5GT 机箱的说明。

端口和电源连接器NetScreen-5GT 设备的后面板上包含端口和电源连接器。

DC power（直流电源）插座用于连接电源至 NetScreen-5GT。

Reset（重置）针孔用于重置设备使其恢复为出厂缺省设置。

NetScreen-5GT 设备包含以下端口：

.

端口说明连接器速度 /协议

Console

（控制台）

启用与系统之间的串行连接。用于启动命令行界面 (CLI)

会话。

DB-9 9600 bps/

RS-232

Modem

（调制解

调器）

高速调制解调器端口。 DB-9 9600 bps-115 Kbps/

RS-232

Untrusted

（不可信）

通过外部路由器、 DSL 调制解调器、或电缆调制解调器启用

互联网连接。

RJ-45 10/100 Mbps/

以太网

Ports 1-4

（端口 1-4）

通过交换机或集线器启用至工作站的直接连接或 LAN 连接。

此连接也可通过 Telnet 会话或 WebUI 管理应用程序来管理

设备。

RJ-45 10/100 Mbps/

以太网

警告：切勿直接连接 TNV 电路（电话线或 ISDN 线）至 NetScreen-5GT 设备上的调制解调

器端口。必须先使用 RS-232 端口连接设备至调制解调器，然后连接调制解调器至 TNV 电路。

NetScreen-5GT 79

第 3 章硬件说明

状态 LED

NetScreen-5GT 设备的前面板上有设备的电源和状态 LED，以及接口的端口状态 LED。

解释设备的状态 LED

设备状态 LED 指示是否正常操作设备。下表说明每一个可能的状态。

解释端口状态 LED

端口状态 LED 指示设备上的端口是否正常运行。下表说明端口的可能状态。

LED LED 颜色 LED 的含义

POWER

（电源）

绿色 “持续亮”指示系统已通电。

关闭 “关闭”指示系统没有通电。

STATUS

（状态）

琥珀黄色 “持续亮”指示系统正在启动。

绿色 “闪亮”指示系统正在运行。

红色 “闪亮”指示诊断或系统初始化错误。

关闭 “关闭”指示系统不可用。

LED LED 颜色 LED 的含义

Link/Activity

（链接 /活动）

绿色 “闪亮”指示设备检测端口的以太网信息流。

“关闭”指示端口尚未与其它设备建立链接。

“持续亮”指示端口已经与其它设备建立链接。

10/100 绿色 “持续亮”指示端口已经连接至 100 Base-T 设备。

琥珀黄色 “持续亮”指示端口已经连接至 10 Base-T 设备。

端口状态 LED状态 LED电源 LED

80 使用手册

NetScreen-5GT 81

A³¾¬º A

规范本附录提供 NetScreen-5GT 的通用系统规范。

属性

高 1.125 英寸（2.857 厘米）

深 5 英寸（12.7 厘米）

宽 8.25 英寸（20.95 厘米）

重量 1.3 磅（590 克）

电器设备开关调节器线性调节器

AC 电压：100-240 VAC+/- 10% 50/60 HzAC 功率：12 瓦特DC 电压：12 伏

AC 电压：120 VAC+/- 10% 50/60 HzAC 功率：12 瓦特DC 电压：12 伏

环境要求温度运行环境

正常高度 0°-40° C, 32-105°F

相对湿度 10-90%

不冷凝 10-90%

最大的正常高度为 12,000 英尺（0-3,660 米）

认证安全 EMI

ULCULCSACECBAustel

FCC 第 15 部分 B 类VCCICTICBSMI

连接器 RJ-45 双绞线端口符合 IEEE 802.3 Type 10/100 Base-T 标准

标准 100Base-TX

介质类型 5 类和更高类别非屏蔽双绞线 (UTP) 电缆

最长距离 328 英尺（100 米）

附录 A 规范

82 使用手册

目錄前言 ......................................................................................................................85

組織 .......................................................................................................... 85

CLI 慣例 .................................................................................................... 85

NetScreen 出版物 ..................................................................................... 86

第 1 章連接裝置 ...................................................................................................87

連接 NetScreen 裝置至網路 ...................................................................... 87

連接電源 ................................................................................................... 87

機架裝載（可選） ..................................................................................... 87

第 2 章組態裝置 ...................................................................................................89

預設設定 ................................................................................................... 90

存取裝置 ................................................................................................... 93

設定 Untrust 介面 ....................................................................................... 95

變更登入名稱和密碼 .................................................................................. 96

驗證外部連接性 ......................................................................................... 96

重設裝置到出廠預設設定 ........................................................................... 96

第 3 章硬體說明 ...................................................................................................99

Connectors 連接埠和電源連接器 .............................................................. 99

狀態 LED .................................................................................................. 100

附錄 A 規格 .........................................................................................................101

NetScreen-5GT 83

目錄

84 使用手冊

前言

NetScreen-5GT 裝置為寬頻遠端通信者、分支機搆、或零售商店提供 IPSec VPN 和防火牆服務。處於 NetScreen 設備生產線的入門門檻時，NetScreen-5GT 裝置使用相同的防火牆、VPN 和通訊流量管理技術作為 NetScreen 的高端中心點產品。

NetScreen 提供 NetScreen-5GT 裝置的兩個版本。

• 10 人使用者版本最多支援 10 個使用者。

• Plus 版本支援不限數量的使用者。

• Extended 本提供與具有額外功能的 Plus 版本相同的功能：高可用性 (NSRP Lite)、DMZ 安全區、以及額外會話和通道容量。

組織本手冊有三章和一個附錄。

第 1 章，「連接裝置」說明如何將 NetScreen-5GT 裝置安裝至機架、連接裝置至網路、和連接電源。

第 2 章，「組態裝置」說明 NetScreen-5GT 預設設定和操作以及使用帶有預設設定的裝置所需的組態。

第 3 章，「硬體說明」提供有關 NetScreen-5GT 連接埠、LED 和電源要求的概述。

附錄 A，「規格」提供有關 NetScreen-5GT 裝置實體規格的清單。

CLI 慣例當出現指令行介面 (CLI) 指令的語法時，使用以下慣例：

• 在中括弧 [ ] 中的任何內容都是可選的。

• 在大括弧 { } 中的任何內容都是必需的。

• 如果選項不止一個，則使用導線 ( | ) 分隔每個選項。例如，


意味著「設定 ethernet1、ethernet2 或 ethernet3 介面的管理選項」。

NetScreen-5GT 85

前言

• 變數以斜體方式出現。例如：

set admin user name password

當 CLI 指令在句子的上下文中出現時，應為粗體（除了始終為斜體的變數之外）。例如：「使用 get system 指令顯示 NetScreen 裝置的序號」。

NETSCREEN 出版物要獲取任何 NetScreen 產品的技術文件，請造訪：

www.netscreen.com/resources/manuals/。

要獲得最新的軟體版本，請造訪： www.netscreen.com/services/download_soft。從下拉式清單中選取軟體產品的類別，然後依照顯示的說明操作。（欲下載 NetScreen 軟體，您必須是註冊使用者。）

如果在下面的內容中發現任何錯誤或遺漏，請用下面的電子郵件地址與我們連絡：

[email protected]

注意：當鍵入關鍵字時，只需鍵入足夠的字母就可以專屬地識別單詞。例如，要輸入指令 setadmin user joe j12fmt54，鍵入 set adm u joe j12fmt54 就足夠了。儘管輸入指令時可以使

用此捷徑，本文所述的所有指令都以完整的方式提供。

86 使用手冊




1ðƒ 1 Š¼

連接裝置

本章介紹如何連接 NetScreen-5GT 裝置至網路以及如何連接電源。如果使用可選的 NetScreen-5GT 機架裝載套件，請參閱本章結尾包含的機架裝載說明。

連接 NETSCREEN 裝置至網路可以建立高速連接到外部路由器、DSL 數據機、或電纜數據機，並為網路提供防火牆和一般安全保障。將隨附的乙太網路電纜從 NetScreen-5GT 裝置上的不受信任連接埠連接到外部路由器或數據機。

NetScreen-5GT 裝置包含四個受信任的連接埠。可以使用其中一個連接埠透過內部交換機或集線器連接裝置至 LAN。也可以直接將一個或所有的連接埠連接到工作站，排除集線器或切換機的需求。可以使用交叉電纜或直通電纜連接 NetScreen-5GT 連接埠至其他裝置。

連接電源連接電源至 NetScreen-5GT 裝置：

1. 將電源線的 DC 連接器端插入設備後面的 DC 電源插座。

2. 將電源線的 AC 轉接器端插入 AC 電源。

機架裝載（可選）使用 NetScreen-5GT 機架裝載套件，可以將一個或兩個 NetScreen-5GT 裝置安裝到一個標準的 19 英吋設備機架中。NetScreen-5GT 機架裝載套件包括說明和機架裝載底盤。底盤的尺寸如下：

• 寬： 19 英吋 (48.25 公釐 )• 高： 1 5/8 英吋 (4.12 公釐 )，也就是 1 RU （機架單位）

• 深度： 10 3/4 英吋 (27.3 公釐 )

注意：有關安全警告和說明，請參閱 NetScreen Safety Guide (NetScreen 安全指南 )。此指

南中的說明警告您哪些情況可能會造成人身傷害。在使用任何設備之前，請注意由電路引發的危險以及熟悉標準操作以防止意外事故的發生。

警告： NetScreen 建議將電湧保護器用於電源連接。

NetScreen-5GT 87

第 1 章連接裝置

除了 NetScreen-5GT 裝置、機架裝載套件和設備機架之外，還需要以下工具：

• 十字螺絲起子。

• 四個與設備機架螺紋尺寸相符的螺絲。

在機架內安裝裝置：

1. 使用十字螺絲起子從每台要安裝的 NetScreen-5GT 裝置下側卸下兩個螺絲。螺絲位於 NetScreen-5GT 下側接近前面板的位置。（保留螺絲以備下一步使用）

2. 將 NetScreen-5GT 設備裝入機架裝載盤並使用步驟 1 卸下的螺絲將其固定在底盤中。

3. 用螺絲將左側和右側底盤金屬板固定到設備機架上。

可以將電源線或乙太網路電纜穿過底盤平板的開口或後壁上的凹陷。也可以使用裝置後面的空間放置電源。開關電源可以分別訂購，它們很容易符合 1-RU 高的空間。

卸下螺絲。

將裝置裝入底盤。

用螺絲將裝置固定在底盤中。

用螺絲將底盤固定到機架上。

88 使用手冊

2ðƒ 2Š¼

組態裝置

本章介紹在安裝和連接 NetScreen-5GT 到網路和電源之後如何組態它。完成了必要的組態之後，網路中的使用者就可以透過 NetScreen 裝置存取網際網路，同時網路內部的資源就可以得到保護，不受外部電腦的影響。

注意：必須在 www.netscreen.com / cso 上註冊產品以便某些 ScreenOS 服務（例如防病毒

或深入檢查簽名服務）可以在裝置中被啟動。在註冊完產品之後，使用 WebUI 或 CLI 獲得

對服務的預訂。有關註冊產品和獲得對特定服務的訂閱的詳細資訊，請參閱《NetScreen 概念與範例 ScreenOS 參考指南》第 2 冊的「系統參數」一章。

注意：如果是第一次使用 ScreenOS WebUI 圖形介面存取裝置，在登入到 WebUI 時會出現

Initial Configuration Wizard ( 初始組態精靈 )。此「精靈」會透過在本章描述的組態來指

導您。有關啟動 Initial Configuration Wizard ( 初始組態精靈 ) 的詳細資訊，請參閱 NetScreen-5GT 的 Getting Started Guide ( 入門指南 )。

NetScreen-5GT 89


第 2 章組態裝置

預設設定本章介紹 NetScreen-5GT 出廠的預設設定和操作。這些預設設定在大部分情況下只有幾項必須組態。下圖顯示了 NetScreen-5GT 的預設組態。

將 Untrust 介面繫結至 Untrust 區段並將 IP 位址組態為 0.0.0.0/0。要允許 NetScreen 裝置（和網路中的裝置）連接到網際網路，必須根據從「網際網路服務提供商」 (ISP) 那裏獲取的資訊來組態 Untrust 介面。請參閱第 91 頁「Untrust 介面位址」。

如果知道登入名和密碼，子網路中的任何使用者都可以管理 NetScreen 裝置。要變更預設登入和密碼，請參閱第 91 頁「登入和密碼」。要限制對特定工作站 NetScreen 裝置的管理，請參閱第 92 頁「限制管理」。

將 Trust 介面繫結至 Trust 區段並將其組態為子網路位址 192.168.1.1/24。這意味著網路中連接到 Trust 介面的所有裝置必須在相同的子網路中並且有該子網路的 IP 位址。也會組態NetScreen 裝置將 192.168.1.1/24 子網路的 IP 位址指派給裝置。有關詳細資訊，請參閱第 92頁「Trust 介面位址」。

NetScreen 裝置允許源自網路裝置的任何類型的通訊流量進入網際網路，但不允許任何源自網際網路的通訊流量進入網路。可組態額外限制，請參閱第 93 頁「額外政策」。

Trust 介面192.168.1.1/24

Untrust 介面0.0.0.0/0

Trust 區段

Untrust 區段

到網際網路

NetScreen 裝置透過 DHCP 為網路中的裝置指派 IP 位址。位址的範圍在 192.168.1.33 - 192.168.1.126 之間。

允許從子網路中的任何裝置對 NetScreen 裝置進行 WebUI 和 Telnet 存取。

源自網路的各種類型的通訊流量允許進入網際網路，但源自網際網路的通訊流量不允許進入網路。

外部路由器

集線器

90 使用手冊

預設設定

所需的組態本章介紹使用包含預設設定的 NetScreen-5GT 必須完成的組態。

Untrust 介面位址

必須為 Untrust 介面組態一個 IP 位址以便使 NetScreen 裝置可以連接到網際網路。此 IP 位址對外代表網路並且可以用以下方式中的一種從「網際網路服務提供商」 (ISP) 處獲得：

• ISP 將為網路提供一個特定、固定的 IP 位址和網路遮罩。

• 網路透過「動態主機組態協定」 (DHCP) 從伺服器接收 IP 位址。

• 網路透過「乙太網路點對點協定」 (PPPoE) 從伺服器接收 IP 位址。

請參閱第 95 頁「設定 Untrust 介面」。

登入和密碼

由於所有 NetScreen 產品使用相同的預設登入和密碼，因此 NetScreen 強烈建議變更NetScreen 裝置的登入和密碼。請參閱第 96 頁「變更登入名稱和密碼」。

可選的組態在本手冊中沒有對以下的可選組態進行詳細介紹。請參閱《NetScreen 概念與範例 ScreenOS參考指南》中的對應章節以獲取詳細資訊。

連接埠模式

連接埠模式是實體連接埠、邏輯介面和區段的繫結。預設連接埠模式 (Trust-Untrust) 將 Trust介面繫結至 Trust 區段並且將 Untrust 介面繫結至 Untrust 區段。變更連接埠模式就會變更繫結關係。本手冊僅僅介紹以 Trust-Untrust 連接埠模式組態 NetScreen 裝置。有關連接埠模式以及如何變更它們的詳細資訊，請參閱《NetScreen 概念與範例 ScreenOS 參考指南》第 2 冊的「區段」一章。

注意：如果在完成組態的過程中有任何問題或需要將裝置恢復為預設設定，請參閱第 96 頁「重設裝置到出廠預設設定」。

警告：變更連接埠模式會移除 NetScreen 裝置上任何現有的組態。因此，請在組態裝置之前

變更連接埠模式。

NetScreen-5GT 91


限制管理

預設情況下，如果知道登入和密碼，網路中的任何使用者都可以管理 NetScreen 裝置。可以組態 NetScreen 裝置使其僅由網路中特定主機來管理。（並且可以選取要在 NetScreen 裝置中啟用哪一種服務－例如，WebUI、Telnet、Ping。）請參閱《NetScreen 概念與範例 ScreenOS參考指南》第 3 冊的「管理」一章。

操作模式

操作模式是 NetScreen 裝置上介面處理區段之間通訊流量的方式。預設情況下，NetScreen-5GT以路由模式進行操作，同時在 Trust 介面啟用網路位址轉換 (NAT)。這意味著當 Trust 區段中的裝置傳送通訊流量到網際網路時，NetScreen 裝置使用 Untrust 介面的 IP 地址替換初始來源 IP位址。同時 NetScreen 裝置為網路中的裝置指派「私有」 IP 地址，這些地址將對網路外部的電腦保密。

如果網路中所有的裝置都有公開 IP 地址，就可以將 NetScreen 裝置組態為「透明」模式或不啟用 NAT 的「路由」模式。在「透明」模式下，NetScreen 裝置轉發通訊流量而不檢查 IP 地址。在不啟用 NAT 的「路由」模式下，NetScreen 裝置透過檢查 IP 地址來轉發通訊流量。有關組態裝置為「透明」模式或不啟用 NAT 的「路由」模式的詳細資訊，請參閱《NetScreen概念與範例 ScreenOS 參考指南》第 2 冊中的「介面模式」一章。

Trust 介面位址

必要時，可以變更 Trust 介面的 IP 地址和網路遮罩。（切記：網路外部的電腦始終看不到網路中裝置的 IP 位址，外部電腦看到的僅僅是 Untrust 介面的 IP 位址。）例如，您可能需要變更Trust 介面以符合網路中現有的 IP 地址。如果變更 Trust 介面的 IP 位址和網路遮罩，也需要變更 NetScreen 裝置透過 DHCP 指派給網路裝置的位址範圍，或者停用在 Trust 介面上的DHCP 伺服器。

要為 Trust 介面指派一個不同的 IP 位址和網路遮罩，請參閱《NetScreen 概念與範例ScreenOS 參考指南》第 2 冊的「介面」一章。

要變更 NetScreen 裝置的 DHCP 設定，請參閱《NetScreen 概念與範例 ScreenOS 參考指南》第 2 冊的「系統參數」一章。

92 使用手冊

存取裝置

額外政策

雖然不允許使用外部電腦訪問或啟動工作站的階段作業，但是使用預設政策組態的 NetScreen-5GT裝置允許網路中的工作站存取外部電腦的任何種類服務。可以組態政策指導 NetScreen 裝置允許外部電腦啟動網路中電腦具有的特定種類的階段作業。要建立或修改政策，請參閱《NetScreen 概念與範例 ScreenOS 參考指南》第 2 冊的「政策」一章。

存取裝置可以用幾種方法組態和管理 NetScreen-5GT 裝置。

• WebUI： ScreenOS WebUI 是一個可以透過 Web 瀏覽器使用的圖形介面。要使用 WebUI，您必須處於 NetScreen 裝置的同一子網路中。請參閱第 93 頁「使用 WebUI」。

• Telnet： Telnet 是一個用於透過 IP 網路存取裝置的應用程式。要存取和組態裝置，請在工作站的 Telnet 階段作業中輸入 ScreenOS 「指令行介面」 (CLI) 指令。請參閱第 94 頁「使用 Telnet」。

• NetScreen-Security Manager 2004 (NSM) 和 NetScreen Rapid Deployment (RD)：如果正在使用 NSM，可以用 RD 選擇性地組態 NetScreen 裝置。請參考 Rapid Deployment Getting Started Guide ( 快速部署入門指南 ) 以獲得詳細資訊。

• 主控台連接： NetScreen-5GT 裝置上的「主控台」連接埠用於透過連接到工作站或終端的序列電纜來存取裝置。要存取和組態裝置，請在終端或工作站上的終端模擬程式中輸入 ScreenOS CLI 指令。請參閱第 94 頁「使用主控台連接」。

使用 WebUI要使用 WebUI，您必須處於 NetScreen 裝置的同一子網路中。要存取使用 WebUI 管理應用程式的 NetScreen-5GT 裝置：

1. 連接工作站（或 LAN 集線器）到信任連接埠，如第 87 頁「連接 NetScreen 裝置至網路」中所述。

2. 啟動瀏覽器，為 URL 欄位中的 Trust 介面輸入 IP 位址，然後按 Enter。

注意：也可以使用「安全 Shell」 (SSH) 應用程式存取遠端 NetScreen 裝置。

請參閱《NetScreen 概念與範例 ScreenOS 參考指南》中的管理一冊以獲取詳

細資訊。

NetScreen-5GT 93


例如，如果 NetScreen 裝置上 Trust 介面的 IP 位址是 192.168.1.1/24，請輸入以下內容：

192.168.1.1

NetScreen WebUI 軟體顯示登入提示。

3. 在 Admin Name (Admin 名稱 ) 和 Password ( 密碼 ) 欄位都輸入 netscreen，然後按一下 Login ( 登入 )。（僅使用小寫字母。「Admin 名稱」和 Password ( 密碼 ) 欄位都區分大小寫。）

NetScreen WebUI 應用程式視窗將出現。（如果第一次使用 WebUI 存取裝置，會出現 Initial Configuration Wizard ( 初始組態精靈 ) ；請參閱 NetScreen-5GT 的Getting Started Guide ( 入門指南 ) 。）

使用 Telnet1. 連接工作站（或 LAN 集線器）到信任連接埠，如第 87 頁「連接 NetScreen 裝置

至網路」中所述。

2. 啟動 Telnet 使用者端應用程式至 Trust 介面的 IP 位址。

例如，如果 NetScreen 裝置上 Trust 介面的 IP 位址是 192.168.1.1/24，請輸入以下

內容：

192.168.1.1

3. 在 login ( 登入 ) 和 password ( 密碼 ) 提示中都輸入 netscreen。（僅使用小寫字母。登入和密碼欄位都區分大小寫。）

使用主控台連接

建立主控台連接：

1. 將序列電纜的凹 DB-9 一端插入電腦的序列連接埠。（確定 DB-9 連接器正確地插在連接埠上。）

2. 將序列電纜的凸 DB-9 一端插入 NetScreen-5GT 裝置的「主控台」連接埠。（確定 DB-9 連接器正確地插在連接埠上。）

注意：對於主控台連接，需要一條序列電纜，一端帶有凸 DB-9 連接器另一端帶有凹 DB-9 連接器。

94 使用手冊

設定 Untrust 介面

3. 啟動序列終端模擬程式。（通用的終端程式是 Hilgreave HyperTerminal。）啟動 NetScreen-5GT 裝置的主控台階段作業所需的設定如下：

– 序列傳輸速率： 9600– 同位元：無– 資料位元： 8– 停止位元： 1– 流量控制：無

4. 在 login ( 登入 ) 和 password ( 密碼 ) 提示中都輸入 netscreen。（僅使用小寫字母。登入和密碼欄位都區分大小寫。）

設定 UNTRUST 介面網路使用 NetScreen 裝置上的 Untrust 介面連接網際網路。如果是第一次設定網際網路連接，請與 ISP 聯絡以獲取有關網路 IP 位址指派的資訊。

• 如果 ISP 給定了網路的特定、固定的 IP 位址和網路遮罩，請組態網路的 IP 位址和網路遮罩以及連接 NetScreen 裝置的路由器連接埠的 IP 位址。在 Telnet 或「主控台」階段作業中輸入以下的 CLI 指令：


• 如果網路透過 DHCP 接收到來自於伺服器的 IP 位址，請在 Telnet 或「主控台」階段作業中輸入 CLI 指令：


• 如果網路透過 PPPoE 接收到來自於伺服器的 IP 位址，請組態 ISP 指派的使用者名稱及密碼。在 Telnet 或「主控台」階段作業中輸入以下的 CLI 指令：


注意：如果是第一次使用 ScreenOS WebUI 圖形介面存取裝置，在登入到 WebUI 時

Initial Configuration Wizard ( 初始組態精靈 ) 會出現，透過在本章所描述的組態來指導

您。因此，僅 CLI 指令顯示在本章中。

NetScreen-5GT 95


變更登入名稱和密碼因為所有的 NetScreen 產品使用相同的預設登入名稱和密碼 (netscreen)，因此建議您最好立即變更登入名稱和密碼。在 Telnet 或「主控台」階段作業中，輸入以下的 CLI 指令：


有關建立不同管理員級別的資訊，請參閱《NetScreen 概念與範例 ScreenOS 參考指南》第 3冊的「管理」一章。

驗證外部連接性要驗證網路中的工作站能否存取網際網路中的資源，請從網路中的任何工作站啟動 Web 瀏覽器並輸入以下的 URL：www.netscreen.com。

重設裝置到出廠預設設定如果遺失了管理密碼，可以重置 NetScreen 裝置到預設設定。這會破壞任何現有的組態，但可復原對裝置的存取。

可以使用以下方式中的一種復原裝置到預設設定：

• 使用主控台連接。請參閱《NetScreen 概念與範例 ScreenOS 參考指南》第 3 冊的「管理」一章以獲取詳細資訊。

• 使用裝置後面板上的重設針孔，如以下一節所述。

警告：重設裝置會移除所有現有的組態並且會使現有的防火牆和 VPN 服務無法運作。

96 使用手冊


重設裝置到出廠預設設定

使用重設針孔按壓重設針孔可以重設裝置並復原出廠預設設定。要執行此操作，需要檢視前面板上的裝置狀態 LED 或具有如第 94 頁「使用主控台連接」中所述的「主控台」階段作業。

1. 找到後面板上的重設針孔。使用又細又硬的金屬絲（例如迴紋針），推壓針孔四至六秒然後鬆開。

狀態 LED 閃爍琥珀黃色。「主控台」上的訊息聲明已經開始刪除組態，而且系統發出一個 SNMP/SYSLOG 警示。

2. 等待一至二秒。

在第一次重設之後，電源 LED 閃爍綠色；裝置正等待第二次推壓。「主控台」訊息現在聲明裝置正等待第二次確認。

3. 再次推壓重設針孔四至六秒。

狀態 LED 亮琥珀黃色半秒，然後返回到閃爍綠色狀態。

4. 裝置重設到原始的出廠設定。

當裝置重設時，狀態 LED 變為琥珀黃色半秒，然後返回到閃爍綠色狀態。「主控台」訊息聲明組態被刪除並且裝置被重設。系統產生 SNMP 和 SYSLOG 警示，發給已組態的 SYSLOG 或 SNMP 回報主機。

5. 裝置重設。

如果不遵循完整的順序，重設過程會取消且不變更任何組態，同時主控台訊息聲明已中止刪除組態。狀態 LED 返回到閃爍綠色狀態。如果裝置沒有重設，則會傳送 SNMP 警示以確認失敗。

重設針孔

NetScreen-5GT 97


98 使用手冊

3ðƒ 3 Š¼

硬體說明

本章提供 NetScreen-5GT 機架的說明。

CONNECTORS 連接埠和電源連接器NetScreen-5GT 裝置的後面板上包含連接埠和電源連接器。

DC power （直流電源）插座用於連接電源至 NetScreen-5GT。

Reset （重置）針孔用於重設設備使其還原為出廠預設設定。

NetScreen-5GT 裝置包含以下連接埠：

.

連接埠說明連接器速度 / 協定

Console( 主控台 )

啟用與系統之間的系列連接。用於啟動指令行介面 (CLI) 會話。

DB-9 9600 bps/RS-232

Modem( 數據機 )

高速數據機連接埠。 DB-9 9600 bps-115 Kbps/RS-232

Untrusted( 不受信任的 )

透過外部路由器、DSL 數據機、或電纜數據機啟用網際網路連接。

RJ-45 10/100 Mbps/乙太網路

Ports 1-4( 連接埠 1-4)

透過交換機或集線器啟用至工作站的直接連接或 LAN 連接。此連接也可透過 Telnet 階段或 WebUI 管理應用程式來管理裝置。

RJ-45 10/100 Mbps/乙太網路

警告：切勿直接連接 TNV 電路（電話線或 ISDN 線）至 NetScreen-5GT 裝置上的數據機連

接埠。必須先使用 RS-232 連接埠連接裝置至數據機，然後連接數據機至 TNV 電路。

NetScreen-5GT 99

第 3 章硬體說明

狀態 LEDNetScreen-5GT 裝置的前面板上有裝置的電源和狀態 LED，以及介面的連接埠狀態 LED。

轉譯裝置的狀態 LED裝置狀態 LED 指示是否正常操作裝置。下表說明每一個可能的狀態。

轉譯連接埠狀態 LED連接埠狀態 LED 指示裝置上的連接埠是否正常執行。下表說明連接埠的可能狀態。

LED LED 顏色 LED 的含義

POWER（電源）

綠色「穩定亮起」表示系統已通電。

關閉「關閉」表示系統沒有通電。

STATUS（狀態）

琥珀黃色「穩定亮起」表示系統正在啟動。

綠色「閃爍」表示系統正在執行。

紅色「閃爍」表示診斷或系統初始化錯誤。

關閉「關閉」表示系統不可用。

LED LED 顏色 LED 的含義

Link/Activity( 連結 / 活動 )

綠色「閃爍」表示裝置偵測連接埠的乙太網路通訊流量。

「關閉」表示連接埠尚未與其他裝置建立連結。

「穩定亮起」表示連接埠已經與其他裝置建立連結。

10/100 綠色「穩定亮起」表示連接埠已經連接至 100 Base-T 裝置。

琥珀黃色「穩定亮起」表示連接埠已經連接至 10 Base-T 裝置。

連接埠狀態 LED狀態 LED電源 LED

100 使用手冊

A™žø″ A

規格本附錄提供 NetScreen-5GT 的通用系統規格。

屬性

高 1.125 英吋 (2.857 公釐 )

深 5 英吋 (12.7 公釐 )

寬 8.25 英吋 (20.95 公釐 )

重量 1.3 磅 (590 克 )

電器設備開關調節器線性調節器

AC 電壓： 100-240 VAC+/- 10% 50/60 HzAC 功率： 12 瓦特DC 電壓： 12 伏特

AC 電壓： 120 VAC+/- 10% 50/60 HzAC 功率： 12 瓦特DC 電壓： 12 伏特

環境要求溫度執行環境

正常高度 0°-40 °C, 32-105 °F

相對濕度 10-90%

不冷凝 10-90%

最大的正常高度為 12,000 英呎（0-3,660 公尺）

認證安全 EMI

ULCULCSACECBAustel

FCC 第 15 部分 B 類VCCICTICBSMI

連接器 RJ-45 雙絞線連接埠符合 IEEE 802.3 Type 10/100 Base-T 標準

標準 100Base-TX

媒體類型類別 5 和更高類別無屏蔽雙絞線 (UTP) 電纜

最長距離 328 英呎 (100 米 )

NetScreen-5GT 101

附錄 A 規格

102 使用手冊

Documents

In English, Spanish, Japanese, Simplified Chinese, and ......NETSCREEN-5GT User’s Guide In English, Spanish, Japanese, Simplified Chinese, and Traditional Chinese Version 5.0.0 P/N