网络运维|防火墙的IPSec VPN

2020-06-11 18:00 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下支持NAT穿越IPSec配置实例，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+

北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息使用VPN Client通过L2TP over IPSec接入总部

为保证出差用户安全访问总部内网，可与总部网关建立L2TP over IPSec隧道连接。员工通过使用PC上的VPN Client软件进行拨号，从而访问总部服务器。

组网需求

如图10-21，LAC客户端通过Internet连接到公司总部的LNS侧。要求由出差员工（LAC Client）直接向LNS发起连接请求，与LNS的通讯数据通过隧道Tunnel传输。先使用L2TP封装第二层数据，对身份认证；再使用IPSec对数据进行加密。
图10-21  配置出差人员通过L2TP over IPSec接入总部组网图 






1. 完成USG的基本配置、包括接口、转发策略、本地策略、路由的配置。

2. 在USG上完成L2TP over IPSec的配置。

3. 在出差员工的PC上完成VPN Client的配置，需要注意的是VPN Client的配置参数需要与USG的参数对应。

操作步骤

1. 配置

a. 选择“网络 > 接口 > 接口”。

b. 在“接口列表”中，单击GE0/0/1对应的。

c. 在“修改GigabitEthernet”界面中，配置如下：

· 安全区域：trust

· IP地址：192.168.1.1

· 子网掩码：255.255.255.0

d. 单击“应用”。

e. 在“接口列表”中，单击GE0/0/2对应的。

f. 在“修改GigabitEthernet”界面中，配置如下：

· 安全区域：untrust

· IP地址：202.38.160.2

· 子网掩码：255.255.255.0

g. 单击“应用”。

2. 配置LNS的安全策略。

a. 配置Local安全区域和Untrust安全区域之间的安全策略。

. 选择“防火墙 > 安全策略 > 本地策略”。

i. 在“本地策略”中单击“新建”。配置如下参数：

· 源安全区域：untrust

· 动作：permit

ii. 单击“应用”。

a. 配置Trust安全区域和Untrust安全区域之间的安全策略。

i. 选择“防火墙 > 安全策略 > 转发策略”。

ii. 在“转发策略列表”中单击“新建”。配置如下参数。

· 源安全区域：trust

· 目的安全区域：untrust

· 源地址：192.168.1.0/24

· 动作：permit

iii. 单击“应用”。

iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。

· 源安全区域：untrust

· 目的安全区域：trust

· 目的地址：192.168.1.0/24

· 动作：permit

v. 单击“应用”。

1. 选择“用户 > 接入用户 > 本地用户”，单击“新建”，配置L2TP用户。
 

2. 配置L2TP over IPSec参数。

a. 选择“VPN > L2TP over IPSec > L2TP over IPSec”。

b. 配置USG_A的IPSec策略基本信息。

由于VPN Client公网地址不固定，因此在配置USG_A的IPSec策略基本信息时，无需配置“对端地址”。预共享密钥为abcde。
 
c. 按如下参数配置“拨号用户配置”。
 
d. 勾选“待加密的数据流”中的“反向路由注入”，表示总部自动生成到分支私网的路由。

e. 勾选“安全提议”中的“接受对端提议”，表示由分支网关来提议IPSec协议和算法。

f. 单击“应用”，完成LNS侧的L2TP over IPSec配置。

3. 配置出差员工侧。

出差员工侧主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。以Secoway VPN Client软件为例。
a. 打开Secoway VPN Client软件，选中已有连接，单击。

 说明：

此操作要在VPN Client断开拨号的情况下执行。

如果没有连接存在，请单击，根据向导建立新的连接。

b. 在“基本设置”页面设置基本信息，并启用IPSec安全协议。

参数设置如图10-22所示。启用IPSec安全协议，并设置登录密码为Hello123，身份验证字为abcde。

 说明：

VPN Client上设置的IPSec身份验证字需要与LNS上设置的预共享密钥保持一致。

如果用户的PC机同时安装有多块网卡，请在LAC客户端基本设置中勾选“连接成功后允许访问Internet(N)”选项。

图10-22  LAC客户端基本设置 


c. 在“IPSec设置”页面设置IPSec基本信息。参数设置如图10-23所示。

 说明：

说明： 当LNS侧采用L2TP over IPSec方式配置VPN隧道时，LNS将不对VPN Client做隧道验证，因此VPN Client上无需配置“L2TP设置”页签。


图10-23  LAC客户端基本设置 


d. 在“IKE设置”页面设置IKE基本信息。参数设置如图10-24所示。

图10-24  LAC客户端基本设置 

结果验证

在LNS上选择“VPN > IPSec > 监控”，查看IPSec隧道监控信息，可以看到建立的如下信息的隧道。


以上文章由北京艾锑无限科技发展有限公司整理