发布日期:2015-09-30 16:15 来源: 标签: 网络技术教程 网络实验教程 VPN 网络配置
VPN(虚拟私用网络)功能使得用户可以在开放的Internet 上基于IPSec 或PPTP/L2TP 的一系列加密认证以及密钥交换技术,构建一个安全的私有专网,具有同本地私有网络一样的安全性、可靠性和可管理性等特点

实验名称:VPN配置。

实验目的:介绍RG-WALL 60 防火墙VPN(虚拟私用网络)功能的配置。

技术原理: VPN(虚拟私用网络)功能使得用户可以在开放的Internet 上基于IPSec 或PPTP/L2TP 的一系列加密认证以及密钥交换技术,构建一个安全的私有专网,具有同本地私有网络一样的安全性、可靠性和可管理性等特点,这样可以大大降低了企业/政府/科研机构等建设专门私有网络的费用。

RG-WALL 60 防火墙的VPN 系统能提供两大类功能:IPSec VPN 和PPTP/L2TP 拨号VPN。

IPSec VPN 支持“网关到网关”和“客户端到网关”两种形式的隧道。VPN 实施支持基于安全策略指定VPN 隧道和基于路由选择VPN 隧道的两种VPN 策略方式。如果希望实施基于路由选择的VPN 隧道,需要在“VPN 配置>>VPN 设备”中添加相应的虚设备。每次创建一条新的网关隧道或客户端隧道,通常按照下面步骤进行:

第一步:在“VPN 配置>>基本配置”页面,配置一些对IPSec VPN 的基本设置,例如缺省IPSec

协议要求的IKE(Internet 密钥交换)密钥周期,是否启用DHCP over IPSec 功能等。

第二步:在“VPN 配置>>VPN 端点”页面,添加远程VPN 端点的基本信息,包括名称,地址方式,

认证方式,密钥数据,IKE 算法模式和IKE 算法组件等。

第三步:在“VPN 配置>>VPN 隧道”页面,添加VPN 隧道,引用相应的VPN 端点,设置数据包封

装协议,IPSec 算法组件等信息。

第四步:如果使用基于安全策略的VPN 隧道机制,在“安全策略>>安全规则”页面,添加相应规则,引用已配置的隧道。如果想使用基于路由选择的VPN 隧道机制,首先在“VPN 配置>>VPN 设备”页面,添加对应于VPN 隧道的VPN 设备,然后在“网络配置>>策略路由”页面,添加相应的路由引用已配置的隧道。如果在设置VPN 端点时,“认证方式”设置为“证书”方式,就必须首先通过“证书管理”目录下的配置界面导入相应的CA(认证中心)证书、本地证书、对方证书后,才可以建立使用证书方式进行认证。对于“客户端到网关”隧道方式,可以通过“VPN 配置>>VPN 客户端分组”,对客户端进行分组,每组用户具有相同的VPN 端点属性,同时又可以具有各自独立的证书或预共享密钥,这样可以大大方便了VPN 客户端账号的管理。

PPTP/L2TP 提供传统的拨号VPN(DVPN)功能。支持多种认证协议:CHAP、CHAPMS、CHAPMS-V2,可以十分方便的和Windows 系列主机建立拨号VPN 隧道。

实现功能:理解VPN的原理,掌握在防火墙上配置VPN

实验设备:RG-WALL60一台,PC一台,控制线或交叉线一根。

实验拓朴:


实验步骤:

1.基本配置

该页面主要配置IPSec VPN 的基本功能和缺省参数。


2. VPN 客户端分组

在使用VPN 客户端访问企业内部网络时,主要针对很多出差、家庭办公、远程办公的用户,或者小型分支机构。网络管理员需要为这些用户设置建立VPN 的共享密钥或者证书。如果为每一个远程客户端用户单独设置VPN 端点配置、VPN 隧道、VPN 策略,这样就增加了管理员的工作量。使用VPN 客户端分组配置可以首先对众多具备一致VPN 端点属性的用户分组,减少在后续中的配置工作量。


点击“添加”按钮,弹出添加、编辑VPN 客户端分组界面,填写分组名称,认证方式和每个用户的证书或预共享密码:


3. VPN 端点

在建立VPN 隧道之前,必须明确每条隧道都要有两个端点。其中一个端点是正在配置的该防火墙设备,另外一个远程端点这里称为“VPN 端点”。隧道两端都必须进行相同属性的配置,才可以正常地建立起隧道。用户首先要输入其要建立隧道的VPN 端点信息。对端是隧道的终点,由它来负责传去的加密报文的解密和传回报文的加密。远程VPN 端点有两种类型,一种是网关,一种是客户端;前者通常就是一台类似RG-WALL 60 防火墙的专门VPN 网关设备,后者通常是指客户主机,通常是一台台式计算机或笔记本电脑。


点击“添加”按钮,弹出添加、编辑VPN 端点的窗口。


注意:

1添加VPN 端点时,需要根据实际情况选择合适的的类型和认证方式。当用户选择的是客户端类型,或VPN 端点地址为“0.0.0.0”,且“认证模式”为“主模式”时,只能使用证书认证方式。当用户选择“认证方式”为“证书”时,需要指定相应的本地证书和对方证书。主模式需要三个交换完成IKE SA(安全联盟)的建立,提供交换双方的身份保护。野蛮模式只需要一个交换就可以完成IKE SA的建立,不提供身份保护RG-WALL 60 防火墙支持7 类远程VPN 端点类型组合,如下表示:


2在编辑VPN 端点后,需要重新生效相应的VPN 隧道后,修改的VPN 端点信息才会生效。

 

4. VPN 隧道

隧道是指在RG-WALL 60 防火墙和VPN 端点之间通过周期性的自动密钥交换(IKE)建立的高安全性的加密通道。隧道根据VPN 端点的类型可以分为两类,一种是网关到网关之间建立的隧道,用于保护两个子网之间的数据通信,另一种是客户端和网关之间建立的隧道,用于保护内部子网和远程主机之间的数据通信。


点击“添加”按钮,弹出添加、编辑VPN 隧道的窗口。


注意:

网络中间如果有NAT 设备,则数据包认证方式无法使用AH 协议,国际标准不支持AH 数据报穿越NAT。

5. VPN 设备


点击“添加”按钮,弹出VPN 设备的添加、编辑窗口。


6. 证书管理

证书管理包括: CA 证书,本地证书,对方证书和证书吊销列表。CA 证书是进行认证的基础,利用他验证对方证书是否可信。本地证书是VPN 的证书,VPN 利用本地证书与远程VPN 交换身份信息,进行认证。VPN 使用对方证书或对方证书主题判断对方证书身份是否合适。证书吊销列表是证书管理中心已经吊销的证书列表,防止对端使用已经吊销的证书。用户应该首先添加合适的CA 证书,其次再添加该CA 证书签发的本地证书和对方证书。可以通过“VPN 配置>>证书管理>>CA 证书”,“VPN 配置>>证书管理>>对方证书”和“VPN 配置>>证书管理>>本地证书”与CA 软件相配合,来生成和导出证书。如果有吊销的证书,还必须导入证书吊销列表。

6.1. 证书管理>>CA 证书


6.2. 证书管理>>对方证书

添加对方证书有两种方法,添加主题方式和导入方式。添加主题就是根据对方证书设置各种信息。VPN 认证对方身份时,判断对方证书是否和您在此添加的主题信息相符合。导入方式是把对方证书导入到VPN,取出证书的主题,用主题来判断对方身份。


6.3. 证书管理>>本地证书

有两种添加本地证书的方法:密钥本地生成、密钥外部生成。一般情况下使用密钥本地生成。

使用密钥本地生成,VPN 内部随机生成公、私钥对,然后用公钥和您输入的请求信息生成证书请求文件。您将此证书请求文件导出后,可以在另外的证书管理器软件中签发,也可以用第三方CA 签发。签发后将生成证书文件,将此证书文件导入到VPN 就完成了本地证书生成的过程。使用密钥外部生成,您可以将其他CA 生成的证书、私钥导入到VPN。


6.4. 证书管理>>证书吊销列表


7. PPTP/L2TP 

7.1. PPTP/L2TP>>基本配置


7.2. PPTP/L2TP >>拨号用户管理

添加后的页面显示为如下:


点击,将弹出以下界面:



相关评论

专题信息
    网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。本教程从交换机、路由器、防火墙、网络安全四个方面来讲解了一些实例。