網絡運維|win用戶怎樣撥入VPN

2020-06-12 16:48 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，在這里介紹持下windows用戶用系統自帶客戶端軟件撥入總部VPN的配置實例，網絡安全運維，從Web管理輕松學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

使用Windows系統自帶客戶端軟件通過L2TP over IPSec接入總部

出差安全訪問總部內網，可與總部網關建立L2TP over IPSec隧道連接。員工通過使用PC上Windows自帶的軟件進行撥號，從而訪問總部服務器。
 說明：
本舉例中進行撥號的LAC客戶端自帶軟件，可以為PC的Windows XP、Windows 7系統或iPhone、iPad等的自帶軟件。

組網需求

如圖10-25所示，由LAC客戶端直接向LNS發起連接請求，先進行IPSec協商建立IPSec隧道，再進行L2TP協商對身份進行認證，建立L2TP over IPSec隧道連接。LAC客戶端與LNS之間的通訊數據需要通過隧道進行傳輸，先使用L2TP封裝第二層數據，再使用IPSec對數據進行加密。
圖10-25  配置客戶端使用Windows系統自帶軟件通過L2TP over IPSec接入總部組網 配置思路

1. 完成USG的基本配置、包括接口、轉發策略、本地策略、路由的配置。
2. 在USG上完成L2TP over IPSec的配置。
3. 在出差員工的PC上使用Windows自帶軟件完成LAC Client的配置，需要注意的是LAC Client的配置參數需要與USG的參數對應。

操作步驟

1. 配置LNS的接口基本參數。
   1. 選擇“網絡 > 接口 > 接口”。
   2. 在“接口列表”中，單擊GE0/0/1對應的 。
   3. 在“修改GigabitEthernet”界面中，配置如下：
      • 安全區域：trust
      • IP地址：192.168.1.1
      • 子網掩碼：255.255.255.0
   4. 單擊“應用”。
   5. 在“接口列表”中，單擊GE0/0/2對應的 。
   6. 在“修改GigabitEthernet”界面中，配置如下：
      • 安全區域：untrust
      • IP地址：202.38.160.2
      • 子網掩碼：255.255.255.0
   7. 單擊“應用”。
2. 配置LNS的安全策略。
   1. 配置Local安全區域和Untrust安全區域之間的安全策略。
      1. 選擇“防火墻 > 安全策略 > 本地策略”。
      2. 在“本地策略”中單擊“新建”。配置如下參數：
         • 源安全區域：untrust
         • 動作：permit
      3. 單擊“應用”。
   2. 配置Trust安全區域和Untrust安全區域之間的安全策略。
      • 選擇“防火墻 > 安全策略 > 轉發策略”。
      • 在“轉發策略列表”中單擊“新建”。配置如下參數。
        • 源安全區域：trust
        • 目的安全區域：untrust
        • 源地址：192.168.1.0/24
        • 動作：permit
      • 單擊“應用”。
      • 重新在“轉發策略列表”中單擊“新建”。配置如下參數。
        • 源安全區域：untrust
        • 目的安全區域：trust
        • 目的地址：192.168.1.0/24
        • 動作：permit
      • 單擊“應用”。
3. 選擇“用戶 > 接入用戶 > 本地用戶”，單擊“新建”，配置L2TP用戶。
4. 配置L2TP over IPSec參數。
   1. 選擇“VPN > L2TP over IPSec > L2TP over IPSec”。
   2. 配置USG_A的IPSec策略基本信息。

由于VPN Client公網地址不固定，因此在配置USG_A的IPSec策略基本信息時，無需配置“對端地址”。預共享密鑰為abcde。

3. 按如下參數配置“撥號用戶配置”。

4. 展開“安全提議”中的“高級”，按如下參數配置IPSec協議和算法。

下圖中所使用的安全提議參數全部為缺省配置，用戶可以直接使用而不用逐一對照配置。如果實際應用場景中對安全提議參數有明確要求時，可以對安全提議參數進行修改，且隧道兩端所使用的安全提議配置必須相同。

5. 配置出差員工的個人PC。以下為Windows 7系統的示例。出差員工直接在個人PC上使用Windows 7系統自帶的L2TP over IPSec客戶端進行撥號。
   1. 修改Windows 7系統的注冊表項。

 說明：
在本舉例中（即L2TP over IPSec場景），無需修改個人PC注冊表項，本步驟可以直接跳過。而在單純的L2TP撥號場景下，則需要執行本步驟，修改個人PC的注冊表項。

• 在“開始 > 運行”中，輸入regedit命令，單擊“確定”，進入注冊表編輯器。
• 在“注冊表編輯器”頁面的左側導航樹中，選擇“計算機 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > IPSec”。

如果在注冊表的Services路徑下找不到“IPSec”，請在該路徑下單擊“右鍵”，新建名稱為“IPSec”的文件夾。

2. 在菜單欄上選擇“編輯 > 新建 > DWORD值（32位）”。
3. 鍵入AssumeUDPEncapsulationContextOnSendRule，然后按“ENTER”，修改文件名稱。
4. 右鍵單擊AssumeUDPEncapsulationContextOnSendRule，選擇“修改”，進入修改界面。
5. 在“數值數據”框中鍵入2，表示可以與位于NAT設備后面的服務器建立安全關聯。
6. 單擊“確定”。
7. 選擇“我的電腦 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > RasMan > Parameters”。
8. 在菜單欄上選擇“編輯 > 新建 > DWORD值（32位）”。
9. 鍵入ProhibitIpSec，然后按“ENTER”，修改文件名稱。
10. 右鍵單擊ProhibitIpSec，選擇“修改”，進入修改界面。
11. 在“數值數據”框中鍵入0。
12. 單擊“確定”，并退出注冊表編輯器。
13. 重新啟動該PC，使修改生效。
2. 查看IPSec服務狀態，保證IPSec服務開啟。
   • 在“開始 > 運行”中，輸入services.msc命令，單擊“確定”，進入“服務”界面。
   • 在“名稱”一列中，查看“IPSEC Services”的狀態，確保狀態為“已啟用”。如果不為“已啟用”，請右鍵單擊“IPSEC Services”，選擇“屬性”，在“屬性”中設置“啟動類型”為自動，單擊“應用”。之后在“服務狀態”中選擇“啟動”。
   • 關閉“服務”界面。
3. 創建L2TP over IPSec連接。
   • 在“開始 > 運行”中，輸入control命令，單擊“確定”，進入控制面板。
   • 選擇“網絡和Internet > 網絡和共享中心”，在“更改網絡設置”區域框中，單擊“設置新的連接或網絡”。
   • 在“設置連接或網絡”中選擇“連接到工作區”，單擊“下一步”。
   • 在“連接到工作區”中選擇“使用我的Internet連接(VPN)(I)”。
   • 在“連接到工作區”中填寫Internet地址和目標名稱，此處設置的Internet地址為202.38.163.1，目標名稱為VPN連接，單擊“下一步”。
   • 在“連接到工作區”中填寫用戶名和密碼，此處設置的用戶名為user_ep，密碼為Password2，單擊“創建”。
   • 在“控制面板主頁”中選擇“更改適配器設置”，在名稱列表中雙擊“VPN連接”。
   • 在彈出的對話框中，輸入用戶名為user_ep，密碼Password2，與LNS端設置一致。
   • 單擊“安全”頁簽。
   • 在“安全”頁簽中，單擊“高級設置”，在彈出的“高級屬性”對話框中，選中“使用預共享的密鑰作身份驗證”，并輸入密鑰為abcde，與LNS端一致。單擊“確定”。
   • 單擊“確定”，完成設置，返回“VPN連接頁面”。單擊“連接”，發起隧道連接。

結果驗證

在USG_A上選擇“VPN > IPSec > 監控”，查看IPSec隧道監控信息，可以看到建立的如下信息的隧道。

策略名稱	狀態	本端地址	對端地址
policy	“IKE協商成功、IPSec協商成功”	200.1.1.1	10.3.1.2

以上文章由北京艾銻無限科技發展有限公司整理