VPN产品技术培训.ppt

2008年4月,VPN产品技术培训,学习目标,学习完本课程，您应该能够了解VPN的典型应用学会如何配置点对点VPN连接学会如何配置星形VPN连接学会如何配置使用动态IP地址的VPN学会如何配置使用远程VPN客户端接入,课程内容,VPN应用点对点连接星形连接动态IP接入远程客户端接入FAQ,1 VPN应用,点对点连接星形连接动态IP接入客户端接入,VPN接入,2 点对点,北京,福州,2 点对点,拓扑特点1.北京用户与福州用户通过私有地址通讯，同时可以访问Internet2.出差用户通过VPN客户端与北京总部或者福州分部通讯，同时可以访问Internet3.北京用户与福州用户进行点对点连接，采用预共享密钥的方式和野蛮模式建立vpn，其他配置采用防火墙默认值4.福州内网可以访问北京内网所有主机和服务,2 点对点,配置方法启用VPN定义VPN端点定义VPN隧道定义安全规则,2 点对点,启用VPN 分别进入总部和分部防火墙web界面：配置基本配置，启用VPN功能,2 点对点,定义VPN端点（1）进入总部防火墙web界面：配置端点，点击添加,如下图,2 点对点,预共享密钥可以随便填写，只要两个防火墙相同就可以了,2 点对点,（2）进入分部防火墙web界面：配置端点，点击添加,如下图,2 点对点,2 点对点,定义VPN隧道（1）进入总部防火墙的web界面：VPN配置-VPN隧道，点击添加，如下图,2 点对点,（1）进入分部防火墙的web界面：VPN配置-VPN隧道，点击添加，如下图,2 点对点,定义安全规则（1）进入总部防火墙的web界面：安全策略-安全规则，点击添加。VPN隧道协商规则,2 点对点,2 点对点,分部内网访问总部内网的包过滤规则,2 点对点,内网访问外网的NAT规则,2 点对点,总部安全规则总体如下,注意以上安全规则的顺序，请务必按照这个顺序添加安全规则,2 点对点,定义安全规则（1）进入分部防火墙的web界面：安全策略-安全规则，点击添加。VPN隧道协商规则,2 点对点,2 点对点,福州内网访问北京内网的包过滤规则,2 点对点,内网访问外网的NAT规则,2 点对点,安全规则总体如下,注意以上安全规则的顺序，请务必按照这个顺序添加安全规则,3 星型连接,深圳,上海,重庆,哈尔滨,北京中心,Internet,Internet,221.12.32.1,61.23.1.2,222.12.3.4,124.44.2.2,213.32.2.2,192.168.10.0/24,192.168.20.0/24,192.168.30.0/24,192.168.40.0/24,192.168.0.0/24,3 星型连接,拓扑特点1.北京总部与各个分部通过私有地址通讯，同时可以访问Internet，分部之间也可以通过隧道访问2.北京用户与其他地区用户进行点对点连接，采用预共享密钥的方式和野蛮模式建立vpn，其他配置采用防火墙默认值3.星型拓扑适用于分公司（VPN隧道）较多的用户,3 星型连接,配置方法启用VPN定义VPN端点定义VPN隧道定义VPN设备定义策略路由定义安全规则,3 星型连接,启用VPN 分别进入总部和分部防火墙web界面：配置基本配置，启用VPN功能,3 星型连接,定义VPN端点（本次配置只进行总部的讲解，各分部的配置不进行讲解，具体配置和上面讲解的基本雷同，具体配置请参照前面和总部配置的进行设置）进入进入总部防火墙web界面：配置端点，点击添加,如下图（*总部不启用主动发起，各分部启用主动）,3 星型连接,3 星型连接,定义VPN隧道 进入防火墙的web界面：VPN配置-VPN隧道，点击添加，如下图,3 星型连接,定义VPN设备 进入防火墙web界面：VPN配置-VPN设备，点击添加,3 星型连接,定义策略路由 首先定义防火墙公网ip的网关（省略）然后定义星型VPN的策略路由：网络配置-策略路由，点击添加如下图：,3 星型连接,通过以上方法建立其他分部的端点，隧道，以及策略路由。因此在总部防火墙上建立四个端点，四个隧道，以及四个策略路由引用VPN,3 星型连接,定义安全规则 进入防火墙web界面：安全策略-安全规则，点击添加 添加vpn隧道协商规则：,3 星型连接,3 星型连接,添加保护子网之间访问的包过滤规则,3 星型连接,添加内网访问外网的NAT规则：,3 星型连接,总体安全规则如下显示：,务必按照以上次序方式添加安全规则。本次讲解只添加总部到上海分部保护子网包过滤规则，没有添加总部保护子网到其他分部的保护子网。如果要添加，那么只需要在NAT规则前一条添加相应的包过滤规则就可以了,4 动态IP,服务器,工作站,总 部,VPN,分部,VPN,服务器,工作站,192.168.1.0/24,192.168.2.0/24,动态IP,北京,上海,61.232.2.2,4 动态IP,拓扑特点1.公司分部VPN接入的IP地址是动态变化的；2.北京用户与上海用户通过私有地址通讯，同时可以访问Internet3.本次VPN建立方式依然采用预共享密钥和野蛮模式建立，其他配置采用防火墙的默认值4.分部内网可以 访问总部内网任何服务,4 动态IP,配置方法启用VPN定义VPN端点定义VPN隧道定义安全规则,4 动态IP,启用VPN 分别进入总部和分部防火墙web界面：配置基本配置，启用VPN功能,4 动态IP,定义VPN端点（1）进入总部防火墙web界面：VPN配置-VPN端点，点击添加，如图,4 动态IP,4 动态IP,（2）进入分部防火墙web界面：VPN配置-VPN端点，点击添加，如图,4 动态IP,定义VPN隧道 进入总部防火墙web界面：VPN配置-VPN隧道，点击添加，如图设置：,4 动态IP,进入分部防火墙web界面：VPN配置-VPN隧道，点击添加，如图设置：,4 动态IP,定义安全规则（1）进入总部和分部防火墙web界面:安全策略-安全规则，点击添加vpn隧道协商规则，如图设置,4 动态IP,（2）总部防火墙添加一条分部访问总部内网服务的包过滤规则,4 动态IP,分部防火墙添加一条分部访问总部内网服务的包过滤规则,4 动态IP,（3）在总部防火墙添加一条内网访问外网的NAT规则,4 动态IP,在分部防火墙添加一条内网访问外网的NAT规则,4 动态IP,总部防火墙的安全规则总体如下：,分部防火墙的安全规则总体如下：,5 客户端接入,服务器,工作站,总 部,VPN,分部,防火墙,服务器,工作站,192.168.1.0/24,192.168.2.0/24,北京,上海,VPN客户端软件,202.100.100.100,211.108.100.10,NAT转换,PSTN,动态获得,211.236.33.21,VPN客户端软件,172.21.10.2/32,172.21.10.2/32,5 客户端接入,拓扑特点1.公司分部公网IP地址是静态的；2.上海用户通过vpn客户端与总部内网通信，同时可以访问Internet3.出差人员也通过vpn客户端与总部内网通信，同时可以访问Internet4.本次VPN建立方式依然采用预共享密钥和野蛮模式建立，其他配置采用防火墙的默认值5.本次主要讲解总部防火墙的配置。客户端的配置请看客户端手册,5 客户端接入,配置方法：启用VPN定义VPN端点定义VPN隧道定义安全规则,启用VPN 分别进入总部防火墙web界面：配置基本配置，启用VPN功能,5 客户端接入,5 客户端接入,定义VPN端点 进入防火墙web界面：VPN配置-VPN端点，点击添加，如图设置,5 客户端接入,5 客户端接入,定义VPN隧道进入防火墙web界面：VPN配置-VPN隧道，点击添加，如图设置,5 客户端接入,定义安全规则进入防火墙web界面:安全策略-安全规则添加vpn隧道协商规则,5 客户端接入,添加客户端到防火墙内网访问的安全规则（此次客户端获得虚拟地址是：172.21.10.2/32）,5 客户端接入,添加内网访问外网的NAT规则,5 客户端接入,防火墙规则总体如下,本次VPN添加只是定义了一个客户端（172.21.10.2）的访问内网,如果要定义很多个，那么就按照上述方法添加即可。或者通过vpn配置-vpn客户端分组方式添加多个客户端,5 客户端接入,运行客户端软件-选择VPN隧道-单击向导按钮,5 客户端接入,填写名称、远程网关IP、对端的IP网段,5 客户端接入,选择手工设置虚拟IP，输入VPN客户端需要配置的IP地址,配置和网关上相同的密钥，选择野蛮模式，填写本地的ID号,5 客户端接入,5 客户端接入,检查配置的参数，点击完成按钮,在连接框中点击test连接，单击连接按钮,5 客户端接入,5 客户端接入,如果连接成功，可以查看SA状态,5 客户端接入,在网关的日志中可以看到协商的过程,5 客户端接入,在网关的系统监控-VPN隧道监控 可以查看IP地址，ID号，算法等,6 FAQ,