赞
踩
概述
网络分类
公网
公用网络
专用网络
一种:直接在两端拉网线,国防光缆,实现起来难度大
二种:向运营商申请专线,费用高
私网
背景
应用场景
酒店,出差外地访问公司的内网服务器,外网访问内网
点对点
VPN分类
VPN可以按照工作层次进行划分:
(1)应用层:SSL VPN
(2)网络层:IPSEC VPN 、GRE VPN
(3)数据链路层:L2TP VPN、PPTP VPN
远程访问
点对点
环境准备
文件共享服务器:win10 192.168.100.100/24 gw:192.168.100.254 VMNET1网卡 vpn:win server 192.168.100.254/24 22.33.44.55/8 客户机:物理机 22.33.44.66/8 文件共享服务器: 1.创建zhangsan用户(等下用来访问文件共享服务器) 2.共享文件夹,授权张三权限 3.测试物理机运行窗口输入\\192.168.46.128 4.测试完成后改成192.168.100.100/24 gw:192.168.100.254 win server: 1.需要添加一块网络适配器网卡,一张作为内网使用,一张作为外网使用 2.ethernet0设置IP为192.168.100.254/24 VMNET1网卡 3.ethernet1设置IP为22.33.44.55/8 VMNET2网卡 4.安装vpn服务,具体步骤如下图所示 物理机: 1.需要修改vmnat2的网卡IP为22.33.44.66/8 win server上创建lisi用户(用来vpn拨号进去)
下一步后可能会提示找不到22块网卡,需要关闭重新进入VPN设置向导
物理机访问vpn(访问前记得在win server上创建lisi用户)
物理机运行窗口输入\\192.168.100.100
访问内网的文件共享服务器
v-gateway 名称 int g外部接口编号 port 自定义端口 private 域名
v-gateway SSLVPN int g1/0/0 port 5443 private www.woniu.com
模拟酒店主机需要使用虚拟机里的win10的老式IE浏览器访问
客户端来访问VPN服务器
IPsec协议架构
两种协议
ESP协议
提供加密算法
提供摘要算法
AH协议
两种工作模式
命令配置
IP配置,VLAN配置,三层交换配置,OSPF配置,路由配置略 AR1配置 1.定义需要保护的数据流(识别哪些流量进行加密走IPsec隧道) [Huawei]acl 3000 [Huawei-acl-adv-3000]rule permit tcp source 192.168.10.0 0.0.0.255 destination 1 92.168.30.0 0.0.0.255 # AR1设置的是回包走的IPsec隧道流量,所以源是10.1目的是30.1 2.配置IPsec安全提议(由于认证算法和加密算法有默认值无需设置) [Huawei]ipsec proposal tiyi 3.配置IKE安全提议(由于ike安全提议里算法也有默认值无需设置) [Huawei]ike proposal 1 4.配置IKE对等体 [Huawei]ike peer duidengti v1 [Huawei-ike-peer-duidengti]remote-address 23.34.45.57 # 对等体的IP [Huawei-ike-peer-duidengti]ike-proposal 1 [Huawei-ike-peer-duidengti]pre-shared-key cipher p-0p-0p-0 5.配置IPSec安全策略 [Huawei]ipsec policy celue 1000 isakmp [Huawei-ipsec-policy-isakmp-celue-1000]security acl 3000 [Huawei-ipsec-policy-isakmp-celue-1000]proposal tiyi [Huawei-ipsec-policy-isakmp-celue-1000]ike-peer duidengti 6.接口上应用IPSec安全策略组 [Huawei]int g0/0/0 # 进入外网接口 [Huawei-GigabitEthernet0/0/0]ipsec policy celue # 应用策略 AR4配置 1.定义需要保护的数据流(识别哪些流量进行加密走IPsec隧道) [Huawei]acl 3000 [Huawei-acl-adv-3000]rule permit tcp source 192.168.30.0 0.0.0.255 destination 1 92.168.10.0 0.0.0.255 # AR1设置的是回包走的IPsec隧道流量,所以源是10.1目的是30.1 2.配置IPsec安全提议(由于认证算法和加密算法有默认值无需设置) [Huawei]ipsec proposal tiyi 3.配置IKE安全提议(由于ike安全提议里算法也有默认值无需设置) [Huawei]ike proposal 1 4.配置IKE对等体 [Huawei]ike peer duidengti v1 [Huawei-ike-peer-duidengti]remote-address 22.33.44.55 # 对等体的IP [Huawei-ike-peer-duidengti]ike-proposal 1 [Huawei-ike-peer-duidengti]pre-shared-key cipher p-0p-0p-0 5.配置IPSec安全策略 [Huawei]ipsec policy celue 1000 isakmp [Huawei-ipsec-policy-isakmp-celue-1000]security acl 3000 [Huawei-ipsec-policy-isakmp-celue-1000]proposal tiyi [Huawei-ipsec-policy-isakmp-celue-1000]ike-peer duidengti 6.接口上应用IPSec安全策略组 [Huawei]int g0/0/1 # 进入外网接口 [Huawei-GigabitEthernet0/0/1]ipsec policy celue # 应用策略
可以结合视频配置
视频地址:https://www.bilibili.com/video/BV1wm421E7DW/
USG6000V的IP配置及路由配置略
FW1配置
FW2配置
IPSec配置如上图所示,具体略
注意额外需要加一个防火墙到客户端的策略,如下图所示
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。