实验三VPN网关实验.docx

安全实验室演示实验指导书－VPN 组网需求描绘  .....................................................  错误!不决义书签。 实验配置指导  .....................................................  错误!不决义书签。 挪动办公用户  VPN解决方案（采纳  L2tp+IPsec  方式）配置指导  ......  错误!不决义书签。 演示考证  ....................................................  错误!不决义书签。 VPN技术演示实验 1.1组网需求描绘 图1-1VPN技术实验组网 本实验顶用到了1台路由器，2层互换机1台，防火墙1台，主机2台, 出差人员使用VPN客户端软件接入企业内部网络。此中网络模型靠近实质组网，有必定的适用性。 本实验模拟一个实质网络环境，二层互换机E07相当于Internet，总部 人员到异地出差，经过Internet接见总部的一台内部服务器数据，防火 墙与路由器以及内部服务器相当于一个企业网络，此中防火墙在企业网 络最外面，起到保护内网的作用。路由器达成VPN网关接入的功能，可 以实现和挪动在异地的内部人员经过Internet来接见内部的服务器，这 里要点介绍VPN技术，防火墙技术，请参照其余章节。 详细的  IP  地点规划以下表所示： 设施  接口  IP  地点  子网掩码 网卡（连结E017 出差人员 的E0/1端口） E1/0（连结E017 ――――――――― 的E0/2端口） 防火墙 E0/0（连结路由器 -――――――――― 的E0/0端口） E0/0（连结防火墙 的E0/0端口） （连结内部服务 器主机网卡） 路由器 的LNS虚构模版接口地点 分派给远端L2TP 的地点 网卡（连结路由器 内部服务 E0/1接口）注意 器(HTTP) 采纳交错线 1.2实验配置指导 挪动办公用户VPN解决方案（采纳L2tp+IPsec方式）配置指导 预先预约一些参数： 防火墙采纳透明模式，依据下边配置参照保证公网的正常的业务数据能顺利进入内网。 路由器作为L2TP的LNS端，，出差人员使用的用户名和密码都为： chongqing，L2TP地道不需要考证。 L2TP因为是明文发送，因此需要使用IPsec进行保护，二者之间采纳IKE自动磋商SA（安全结盟）数据，IKE之间采纳 Pre-shared-key方式进行考证，密码为：123456，采纳ID_NAME方式辨别数据流。其余都采纳缺省的IKE和IPsec磋商参数配置。 1、防火墙配置参照与说明： [Quidway]discu # sysnameQuidway # dvpnserviceenable # firewallpacket-filterenable # firewallmodetransparent―――――――改正防火墙的工作模式为透明模式 # firewallstatisticsystemenable # radiusschemesystem # domainsystem # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 promiscuous # interfaceEthernet1/0 promiscuous # interfaceEthernet1/1 promiscuous # interfaceEthernet1/2 promiscuous # interfaceNULL0 # interfaceLoopBack0 ipaddress―――――――系统自动生成的系统管理地点 # firewallzonelocal setpriority100 # firewallzonetrust addinterfaceEthernet0/0  ――将eth0/0  加入到内网 setpriority85 # firewallzoneuntrust addinterfaceEthernet1/0  ――将eth1/0  加入到内网 setpriority5 # firewallzoneDMZ setpriority50 # firewallinterzonelocaltrust # firewallinterzonelocaluntrust # firewallinterzonelocalDMZ # firewallinterzonetrustuntrust # firewallinterzonetrustDMZ # firewallinterzoneDMZuntrust # user