《VPN产品技术培训.ppt》由会员分享,可在线阅读,更多相关《VPN产品技术培训.ppt(76页珍藏版)》请在三一办公上搜索。
1、2008年4月,VPN产品技术培训,学习目标,学习完本课程,您应该能够了解VPN的典型应用学会如何配置点对点VPN连接学会如何配置星形VPN连接学会如何配置使用动态IP地址的VPN学会如何配置使用远程VPN客户端接入,课程内容,VPN应用点对点连接星形连接动态IP接入远程客户端接入FAQ,1 VPN应用,点对点连接星形连接动态IP接入客户端接入,VPN接入,2 点对点,北京,福州,2 点对点,拓扑特点1.北京用户与福州用户通过私有地址通讯,同时可以访问Internet2.出差用户通过VPN客户端与北京总部或者福州分部通讯,同时可以访问Internet3.北京用户与福州用户进行点对点连接,采用预
2、共享密钥的方式和野蛮模式建立vpn,其他配置采用防火墙默认值4.福州内网可以访问北京内网所有主机和服务,2 点对点,配置方法启用VPN定义VPN端点定义VPN隧道定义安全规则,2 点对点,启用VPN 分别进入总部和分部防火墙web界面:配置基本配置,启用VPN功能,2 点对点,定义VPN端点(1)进入总部防火墙web界面:配置端点,点击添加,如下图,2 点对点,预共享密钥可以随便填写,只要两个防火墙相同就可以了,2 点对点,(2)进入分部防火墙web界面:配置端点,点击添加,如下图,2 点对点,2 点对点,定义VPN隧道(1)进入总部防火墙的web界面:VPN配置-VPN隧道,点击添加,如下图
3、,2 点对点,(1)进入分部防火墙的web界面:VPN配置-VPN隧道,点击添加,如下图,2 点对点,定义安全规则(1)进入总部防火墙的web界面:安全策略-安全规则,点击添加。VPN隧道协商规则,2 点对点,2 点对点,分部内网访问总部内网的包过滤规则,2 点对点,内网访问外网的NAT规则,2 点对点,总部安全规则总体如下,注意以上安全规则的顺序,请务必按照这个顺序添加安全规则,2 点对点,定义安全规则(1)进入分部防火墙的web界面:安全策略-安全规则,点击添加。VPN隧道协商规则,2 点对点,2 点对点,福州内网访问北京内网的包过滤规则,2 点对点,内网访问外网的NAT规则,2 点对点,
4、安全规则总体如下,注意以上安全规则的顺序,请务必按照这个顺序添加安全规则,3 星型连接,深圳,上海,重庆,哈尔滨,北京中心,Internet,Internet,221.12.32.1,61.23.1.2,222.12.3.4,124.44.2.2,213.32.2.2,192.168.10.0/24,192.168.20.0/24,192.168.30.0/24,192.168.40.0/24,192.168.0.0/24,3 星型连接,拓扑特点1.北京总部与各个分部通过私有地址通讯,同时可以访问Internet,分部之间也可以通过隧道访问2.北京用户与其他地区用户进行点对点连接,采用预共享密
5、钥的方式和野蛮模式建立vpn,其他配置采用防火墙默认值3.星型拓扑适用于分公司(VPN隧道)较多的用户,3 星型连接,配置方法启用VPN定义VPN端点定义VPN隧道定义VPN设备定义策略路由定义安全规则,3 星型连接,启用VPN 分别进入总部和分部防火墙web界面:配置基本配置,启用VPN功能,3 星型连接,定义VPN端点(本次配置只进行总部的讲解,各分部的配置不进行讲解,具体配置和上面讲解的基本雷同,具体配置请参照前面和总部配置的进行设置)进入进入总部防火墙web界面:配置端点,点击添加,如下图(*总部不启用主动发起,各分部启用主动),3 星型连接,3 星型连接,定义VPN隧道 进入防火墙的
6、web界面:VPN配置-VPN隧道,点击添加,如下图,3 星型连接,定义VPN设备 进入防火墙web界面:VPN配置-VPN设备,点击添加,3 星型连接,定义策略路由 首先定义防火墙公网ip的网关(省略)然后定义星型VPN的策略路由:网络配置-策略路由,点击添加如下图:,3 星型连接,通过以上方法建立其他分部的端点,隧道,以及策略路由。因此在总部防火墙上建立四个端点,四个隧道,以及四个策略路由引用VPN,3 星型连接,定义安全规则 进入防火墙web界面:安全策略-安全规则,点击添加 添加vpn隧道协商规则:,3 星型连接,3 星型连接,添加保护子网之间访问的包过滤规则,3 星型连接,添加内网访
7、问外网的NAT规则:,3 星型连接,总体安全规则如下显示:,务必按照以上次序方式添加安全规则。本次讲解只添加总部到上海分部保护子网包过滤规则,没有添加总部保护子网到其他分部的保护子网。如果要添加,那么只需要在NAT规则前一条添加相应的包过滤规则就可以了,4 动态IP,服务器,工作站,总 部,VPN,分部,VPN,服务器,工作站,192.168.1.0/24,192.168.2.0/24,动态IP,北京,上海,61.232.2.2,4 动态IP,拓扑特点1.公司分部VPN接入的IP地址是动态变化的;2.北京用户与上海用户通过私有地址通讯,同时可以访问Internet3.本次VPN建立方式依然采用
8、预共享密钥和野蛮模式建立,其他配置采用防火墙的默认值4.分部内网可以 访问总部内网任何服务,4 动态IP,配置方法启用VPN定义VPN端点定义VPN隧道定义安全规则,4 动态IP,启用VPN 分别进入总部和分部防火墙web界面:配置基本配置,启用VPN功能,4 动态IP,定义VPN端点(1)进入总部防火墙web界面:VPN配置-VPN端点,点击添加,如图,4 动态IP,4 动态IP,(2)进入分部防火墙web界面:VPN配置-VPN端点,点击添加,如图,4 动态IP,定义VPN隧道 进入总部防火墙web界面:VPN配置-VPN隧道,点击添加,如图设置:,4 动态IP,进入分部防火墙web界面:
9、VPN配置-VPN隧道,点击添加,如图设置:,4 动态IP,定义安全规则(1)进入总部和分部防火墙web界面:安全策略-安全规则,点击添加vpn隧道协商规则,如图设置,4 动态IP,(2)总部防火墙添加一条分部访问总部内网服务的包过滤规则,4 动态IP,分部防火墙添加一条分部访问总部内网服务的包过滤规则,4 动态IP,(3)在总部防火墙添加一条内网访问外网的NAT规则,4 动态IP,在分部防火墙添加一条内网访问外网的NAT规则,4 动态IP,总部防火墙的安全规则总体如下:,分部防火墙的安全规则总体如下:,5 客户端接入,服务器,工作站,总 部,VPN,分部,防火墙,服务器,工作站,192.16
10、8.1.0/24,192.168.2.0/24,北京,上海,VPN客户端软件,202.100.100.100,211.108.100.10,NAT转换,PSTN,动态获得,211.236.33.21,VPN客户端软件,172.21.10.2/32,172.21.10.2/32,5 客户端接入,拓扑特点1.公司分部公网IP地址是静态的;2.上海用户通过vpn客户端与总部内网通信,同时可以访问Internet3.出差人员也通过vpn客户端与总部内网通信,同时可以访问Internet4.本次VPN建立方式依然采用预共享密钥和野蛮模式建立,其他配置采用防火墙的默认值5.本次主要讲解总部防火墙的配置。客
11、户端的配置请看客户端手册,5 客户端接入,配置方法:启用VPN定义VPN端点定义VPN隧道定义安全规则,启用VPN 分别进入总部防火墙web界面:配置基本配置,启用VPN功能,5 客户端接入,5 客户端接入,定义VPN端点 进入防火墙web界面:VPN配置-VPN端点,点击添加,如图设置,5 客户端接入,5 客户端接入,定义VPN隧道进入防火墙web界面:VPN配置-VPN隧道,点击添加,如图设置,5 客户端接入,定义安全规则进入防火墙web界面:安全策略-安全规则添加vpn隧道协商规则,5 客户端接入,添加客户端到防火墙内网访问的安全规则(此次客户端获得虚拟地址是:172.21.10.2/3
12、2),5 客户端接入,添加内网访问外网的NAT规则,5 客户端接入,防火墙规则总体如下,本次VPN添加只是定义了一个客户端(172.21.10.2)的访问内网,如果要定义很多个,那么就按照上述方法添加即可。或者通过vpn配置-vpn客户端分组方式添加多个客户端,5 客户端接入,运行客户端软件-选择VPN隧道-单击向导按钮,5 客户端接入,填写名称、远程网关IP、对端的IP网段,5 客户端接入,选择手工设置虚拟IP,输入VPN客户端需要配置的IP地址,配置和网关上相同的密钥,选择野蛮模式,填写本地的ID号,5 客户端接入,5 客户端接入,检查配置的参数,点击完成按钮,在连接框中点击test连接,单击连接按钮,5 客户端接入,5 客户端接入,如果连接成功,可以查看SA状态,5 客户端接入,在网关的日志中可以看到协商的过程,5 客户端接入,在网关的系统监控-VPN隧道监控 可以查看IP地址,ID号,算法等,6 FAQ,
