网络运维|win用户怎样拨入VPN
2020-06-12 16:48 作者:艾锑无限 浏览量:
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容,在这里介绍持下windows用户用系统自带客户端软件拨入总部VPN的配置实例,
网络安全运维,从Web管理轻松学起,一步一步学成
网络安全
运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
使用Windows系统自带客户端软件通过L2TP over IPSec接入总部
出差安全访问总部内网,可与总部网关建立L2TP over IPSec隧道连接。员工通过使用PC上Windows自带的软件进行拨号,从而访问总部服务器。
说明:
本举例中进行拨号的LAC客户端自带软件,可以为PC的Windows XP、Windows 7系统或iPhone、iPad等的自带软件。
组网需求
如图10-25所示,由LAC客户端直接向LNS发起连接请求,先进行IPSec协商建立IPSec隧道,再进行L2TP协商对身份进行认证,建立L2TP over IPSec隧道连接。LAC客户端与LNS之间的通讯数据需要通过隧道进行传输,先使用L2TP封装第二层数据,再使用IPSec对数据进行加密。
图10-25 配置客户端使用Windows系统自带软件通过L2TP over IPSec接入总部组网 配置思路
-
完成USG的基本配置、包括接口、转发策略、本地策略、路由的配置。
-
在USG上完成L2TP over IPSec的配置。
-
在出差员工的PC上使用Windows自带软件完成LAC Client的配置,需要注意的是LAC Client的配置参数需要与USG的参数对应。
操作步骤
-
配置LNS的接口基本参数。
-
选择“网络 > 接口 > 接口”。
-
在“接口列表”中,单击GE0/0/1对应的 。
-
在“修改GigabitEthernet”界面中,配置如下:
-
安全区域:trust
-
IP地址:192.168.1.1
-
子网掩码:255.255.255.0
-
单击“应用”。
-
在“接口列表”中,单击GE0/0/2对应的 。
-
在“修改GigabitEthernet”界面中,配置如下:
-
安全区域:untrust
-
IP地址:202.38.160.2
-
子网掩码:255.255.255.0
-
单击“应用”。
-
配置LNS的安全策略。
-
配置Local安全区域和Untrust安全区域之间的安全策略。
-
选择“防火墙 > 安全策略 > 本地策略”。
-
在“本地策略”中单击“新建”。配置如下参数:
-
单击“应用”。
-
配置Trust安全区域和Untrust安全区域之间的安全策略。
-
选择“防火墙 > 安全策略 > 转发策略”。
-
在“转发策略列表”中单击“新建”。配置如下参数。
-
源安全区域:trust
-
目的安全区域:untrust
-
源地址:192.168.1.0/24
-
动作:permit
-
单击“应用”。
-
重新在“转发策略列表”中单击“新建”。配置如下参数。
-
源安全区域:untrust
-
目的安全区域:trust
-
目的地址:192.168.1.0/24
-
动作:permit
-
单击“应用”。
-
选择“用户 > 接入用户 > 本地用户”,单击“新建”,配置L2TP用户。
-
配置L2TP over IPSec参数。
-
选择“VPN > L2TP over IPSec > L2TP over IPSec”。
-
配置USG_A的IPSec策略基本信息。
由于VPN Client公网地址不固定,因此在配置USG_A的IPSec策略基本信息时,无需配置“对端地址”。预共享密钥为abcde。
-
按如下参数配置“拨号用户配置”。
-
展开“安全提议”中的“高级”,按如下参数配置IPSec协议和算法。
下图中所使用的安全提议参数全部为缺省配置,用户可以直接使用而不用逐一对照配置。如果实际应用场景中对安全提议参数有明确要求时,可以对安全提议参数进行修改,且隧道两端所使用的安全提议配置必须相同。
-
配置出差员工的个人PC。以下为Windows 7系统的示例。出差员工直接在个人PC上使用Windows 7系统自带的L2TP over IPSec客户端进行拨号。
-
修改Windows 7系统的注册表项。
说明:
在本举例中(即L2TP over IPSec场景),无需修改个人PC注册表项,本步骤可以直接跳过。而在单纯的L2TP拨号场景下,则需要执行本步骤,修改个人PC的注册表项。
-
在“开始 > 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。
-
在“注册表编辑器”页面的左侧导航树中,选择“计算机 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > IPSec”。
如果在注册表的Services路径下找不到“IPSec”,请在该路径下单击“右键”,新建名称为“IPSec”的文件夹。
-
在菜单栏上选择“编辑 > 新建 > DWORD值(32位)”。
-
键入AssumeUDPEncapsulationContextOnSendRule,然后按“ENTER”,修改文件名称。
-
右键单击AssumeUDPEncapsulationContextOnSendRule,选择“修改”,进入修改界面。
-
在“数值数据”框中键入2,表示可以与位于NAT设备后面的服务器建立安全关联。
-
单击“确定”。
-
选择“我的电脑 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > RasMan > Parameters”。
-
在菜单栏上选择“编辑 > 新建 > DWORD值(32位)”。
-
键入ProhibitIpSec,然后按“ENTER”,修改文件名称。
-
右键单击ProhibitIpSec,选择“修改”,进入修改界面。
-
在“数值数据”框中键入0。
-
单击“确定”,并退出注册表编辑器。
-
重新启动该PC,使修改生效。
-
查看IPSec服务状态,保证IPSec服务开启。
-
在“开始 > 运行”中,输入services.msc命令,单击“确定”,进入“服务”界面。
-
在“名称”一列中,查看“IPSEC Services”的状态,确保状态为“已启用”。如果不为“已启用”,请右键单击“IPSEC Services”,选择“属性”,在“属性”中设置“启动类型”为自动,单击“应用”。之后在“服务状态”中选择“启动”。
-
关闭“服务”界面。
-
创建L2TP over IPSec连接。
-
在“开始 > 运行”中,输入control命令,单击“确定”,进入控制面板。
-
选择“网络和Internet > 网络和共享中心”,在“更改网络设置”区域框中,单击“设置新的连接或网络”。
-
在“设置连接或网络”中选择“连接到工作区”,单击“下一步”。
-
在“连接到工作区”中选择“使用我的Internet连接(VPN)(I)”。
-
在“连接到工作区”中填写Internet地址和目标名称,此处设置的Internet地址为202.38.163.1,目标名称为VPN连接,单击“下一步”。
-
在“连接到工作区”中填写用户名和密码,此处设置的用户名为user_ep,密码为Password2,单击“创建”。
-
在“控制面板主页”中选择“更改适配器设置”,在名称列表中双击“VPN连接”。
-
在弹出的对话框中,输入用户名为user_ep,密码Password2,与LNS端设置一致。
-
单击“安全”页签。
-
在“安全”页签中,单击“高级设置”,在弹出的“高级属性”对话框中,选中“使用预共享的密钥作身份验证”,并输入密钥为abcde,与LNS端一致。单击“确定”。
-
单击“确定”,完成设置,返回“VPN连接页面”。单击“连接”,发起隧道连接。
结果验证
在USG_A上选择“VPN > IPSec > 监控”,查看IPSec隧道监控信息,可以看到建立的如下信息的隧道。
策略名称 |
状态 |
本端地址 |
对端地址 |
policy |
“IKE协商成功、IPSec协商成功” |
200.1.1.1 |
10.3.1.2 |
以上文章由北京艾锑无限科技发展有限公司整理