網(wǎng)絡(luò)運(yùn)維|win用戶怎樣撥入VPN

2020-06-12 16:48 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹持下windows用戶用系統(tǒng)自帶客戶端軟件撥入總部VPN的配置實(shí)例，網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

使用Windows系統(tǒng)自帶客戶端軟件通過(guò)L2TP over IPSec接入總部

出差安全訪問(wèn)總部?jī)?nèi)網(wǎng)，可與總部網(wǎng)關(guān)建立L2TP over IPSec隧道連接。員工通過(guò)使用PC上Windows自帶的軟件進(jìn)行撥號(hào)，從而訪問(wèn)總部服務(wù)器。
 說(shuō)明：
本舉例中進(jìn)行撥號(hào)的LAC客戶端自帶軟件，可以為PC的Windows XP、Windows 7系統(tǒng)或iPhone、iPad等的自帶軟件。

組網(wǎng)需求

如圖10-25所示，由LAC客戶端直接向LNS發(fā)起連接請(qǐng)求，先進(jìn)行IPSec協(xié)商建立IPSec隧道，再進(jìn)行L2TP協(xié)商對(duì)身份進(jìn)行認(rèn)證，建立L2TP over IPSec隧道連接。LAC客戶端與LNS之間的通訊數(shù)據(jù)需要通過(guò)隧道進(jìn)行傳輸，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPSec對(duì)數(shù)據(jù)進(jìn)行加密。
圖10-25  配置客戶端使用Windows系統(tǒng)自帶軟件通過(guò)L2TP over IPSec接入總部組網(wǎng) 配置思路

1. 完成USG的基本配置、包括接口、轉(zhuǎn)發(fā)策略、本地策略、路由的配置。
2. 在USG上完成L2TP over IPSec的配置。
3. 在出差員工的PC上使用Windows自帶軟件完成LAC Client的配置，需要注意的是LAC Client的配置參數(shù)需要與USG的參數(shù)對(duì)應(yīng)。

操作步驟

1. 配置LNS的接口基本參數(shù)。
   1. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
   2. 在“接口列表”中，單擊GE0/0/1對(duì)應(yīng)的 。
   3. 在“修改GigabitEthernet”界面中，配置如下：
      • 安全區(qū)域：trust
      • IP地址：192.168.1.1
      • 子網(wǎng)掩碼：255.255.255.0
   4. 單擊“應(yīng)用”。
   5. 在“接口列表”中，單擊GE0/0/2對(duì)應(yīng)的 。
   6. 在“修改GigabitEthernet”界面中，配置如下：
      • 安全區(qū)域：untrust
      • IP地址：202.38.160.2
      • 子網(wǎng)掩碼：255.255.255.0
   7. 單擊“應(yīng)用”。
2. 配置LNS的安全策略。
   1. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
      1. 選擇“防火墻 > 安全策略 > 本地策略”。
      2. 在“本地策略”中單擊“新建”。配置如下參數(shù)：
         • 源安全區(qū)域：untrust
         • 動(dòng)作：permit
      3. 單擊“應(yīng)用”。
   2. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
      • 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
      • 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
        • 源安全區(qū)域：trust
        • 目的安全區(qū)域：untrust
        • 源地址：192.168.1.0/24
        • 動(dòng)作：permit
      • 單擊“應(yīng)用”。
      • 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
        • 源安全區(qū)域：untrust
        • 目的安全區(qū)域：trust
        • 目的地址：192.168.1.0/24
        • 動(dòng)作：permit
      • 單擊“應(yīng)用”。
3. 選擇“用戶 > 接入用戶 > 本地用戶”，單擊“新建”，配置L2TP用戶。
4. 配置L2TP over IPSec參數(shù)。
   1. 選擇“VPN > L2TP over IPSec > L2TP over IPSec”。
   2. 配置USG_A的IPSec策略基本信息。

由于VPN Client公網(wǎng)地址不固定，因此在配置USG_A的IPSec策略基本信息時(shí)，無(wú)需配置“對(duì)端地址”。預(yù)共享密鑰為abcde。

3. 按如下參數(shù)配置“撥號(hào)用戶配置”。

4. 展開(kāi)“安全提議”中的“高級(jí)”，按如下參數(shù)配置IPSec協(xié)議和算法。

下圖中所使用的安全提議參數(shù)全部為缺省配置，用戶可以直接使用而不用逐一對(duì)照配置。如果實(shí)際應(yīng)用場(chǎng)景中對(duì)安全提議參數(shù)有明確要求時(shí)，可以對(duì)安全提議參數(shù)進(jìn)行修改，且隧道兩端所使用的安全提議配置必須相同。

5. 配置出差員工的個(gè)人PC。以下為Windows 7系統(tǒng)的示例。出差員工直接在個(gè)人PC上使用Windows 7系統(tǒng)自帶的L2TP over IPSec客戶端進(jìn)行撥號(hào)。
   1. 修改Windows 7系統(tǒng)的注冊(cè)表項(xiàng)。

 說(shuō)明：
在本舉例中（即L2TP over IPSec場(chǎng)景），無(wú)需修改個(gè)人PC注冊(cè)表項(xiàng)，本步驟可以直接跳過(guò)。而在單純的L2TP撥號(hào)場(chǎng)景下，則需要執(zhí)行本步驟，修改個(gè)人PC的注冊(cè)表項(xiàng)。

• 在“開(kāi)始 > 運(yùn)行”中，輸入regedit命令，單擊“確定”，進(jìn)入注冊(cè)表編輯器。
• 在“注冊(cè)表編輯器”頁(yè)面的左側(cè)導(dǎo)航樹(shù)中，選擇“計(jì)算機(jī) > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > IPSec”。

如果在注冊(cè)表的Services路徑下找不到“IPSec”，請(qǐng)?jiān)谠撀窂较聠螕?ldquo;右鍵”，新建名稱為“IPSec”的文件夾。

2. 在菜單欄上選擇“編輯 > 新建 > DWORD值（32位）”。
3. 鍵入AssumeUDPEncapsulationContextOnSendRule，然后按“ENTER”，修改文件名稱。
4. 右鍵單擊AssumeUDPEncapsulationContextOnSendRule，選擇“修改”，進(jìn)入修改界面。
5. 在“數(shù)值數(shù)據(jù)”框中鍵入2，表示可以與位于NAT設(shè)備后面的服務(wù)器建立安全關(guān)聯(lián)。
6. 單擊“確定”。
7. 選擇“我的電腦 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > RasMan > Parameters”。
8. 在菜單欄上選擇“編輯 > 新建 > DWORD值（32位）”。
9. 鍵入ProhibitIpSec，然后按“ENTER”，修改文件名稱。
10. 右鍵單擊ProhibitIpSec，選擇“修改”，進(jìn)入修改界面。
11. 在“數(shù)值數(shù)據(jù)”框中鍵入0。
12. 單擊“確定”，并退出注冊(cè)表編輯器。
13. 重新啟動(dòng)該P(yáng)C，使修改生效。
2. 查看IPSec服務(wù)狀態(tài)，保證IPSec服務(wù)開(kāi)啟。
   • 在“開(kāi)始 > 運(yùn)行”中，輸入services.msc命令，單擊“確定”，進(jìn)入“服務(wù)”界面。
   • 在“名稱”一列中，查看“IPSEC Services”的狀態(tài)，確保狀態(tài)為“已啟用”。如果不為“已啟用”，請(qǐng)右鍵單擊“IPSEC Services”，選擇“屬性”，在“屬性”中設(shè)置“啟動(dòng)類型”為自動(dòng)，單擊“應(yīng)用”。之后在“服務(wù)狀態(tài)”中選擇“啟動(dòng)”。
   • 關(guān)閉“服務(wù)”界面。
3. 創(chuàng)建L2TP over IPSec連接。
   • 在“開(kāi)始 > 運(yùn)行”中，輸入control命令，單擊“確定”，進(jìn)入控制面板。
   • 選擇“網(wǎng)絡(luò)和Internet > 網(wǎng)絡(luò)和共享中心”，在“更改網(wǎng)絡(luò)設(shè)置”區(qū)域框中，單擊“設(shè)置新的連接或網(wǎng)絡(luò)”。
   • 在“設(shè)置連接或網(wǎng)絡(luò)”中選擇“連接到工作區(qū)”，單擊“下一步”。
   • 在“連接到工作區(qū)”中選擇“使用我的Internet連接(VPN)(I)”。
   • 在“連接到工作區(qū)”中填寫(xiě)Internet地址和目標(biāo)名稱，此處設(shè)置的Internet地址為202.38.163.1，目標(biāo)名稱為VPN連接，單擊“下一步”。
   • 在“連接到工作區(qū)”中填寫(xiě)用戶名和密碼，此處設(shè)置的用戶名為user_ep，密碼為Password2，單擊“創(chuàng)建”。
   • 在“控制面板主頁(yè)”中選擇“更改適配器設(shè)置”，在名稱列表中雙擊“VPN連接”。
   • 在彈出的對(duì)話框中，輸入用戶名為user_ep，密碼Password2，與LNS端設(shè)置一致。
   • 單擊“安全”頁(yè)簽。
   • 在“安全”頁(yè)簽中，單擊“高級(jí)設(shè)置”，在彈出的“高級(jí)屬性”對(duì)話框中，選中“使用預(yù)共享的密鑰作身份驗(yàn)證”，并輸入密鑰為abcde，與LNS端一致。單擊“確定”。
   • 單擊“確定”，完成設(shè)置，返回“VPN連接頁(yè)面”。單擊“連接”，發(fā)起隧道連接。

結(jié)果驗(yàn)證

在USG_A上選擇“VPN > IPSec > 監(jiān)控”，查看IPSec隧道監(jiān)控信息，可以看到建立的如下信息的隧道。

策略名稱	狀態(tài)	本端地址	對(duì)端地址
policy	“IKE協(xié)商成功、IPSec協(xié)商成功”	200.1.1.1	10.3.1.2

以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理