16-VPN部署.pptx

《16-VPN部署.pptx》由会员分享，可在线阅读，更多相关《16-VPN部署.pptx（34页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、VPN 部署柳 鑫DCN 客户服务中心通过完成此章节课程，您将可以：-理解VPN的概念-配置基于策略的VPN-配置基于路由的VPN-配置Secure Connect VPN章节目标 VPN介绍1800系统多核墙 IPSec VPN配置-基于策略VPN配置-基于路由VPN配置1800系统多核墙SSL VPN配置-SecureConnect VPN议程：VPN部署传统专线接入跨区域、多站点为了安全传输敏感信息部署简单、无需加密成本太高不适合中小企业推广传统专线接入VPN（Virtural Private Network）在公网上建立的虚拟私有网络节约成本简化了企业联网和广域网操作VPN网络有很好的

2、兼容性和可扩展性企业可以利用VPN迅速开展新的服务和链接全球的设施通过隧道协议需要加密、完整性校验、用户认证等安全措施Virtural Private NetworkPPTP-(Point to Point Tunneling Protocol)L2TP-(Layer 2 Tunneling Protocol)IPSec-(Internet Protocol Security)SSL-(Secure Socket Layer)VPN类型VPN通过以下三要素保证数据通过互联网安全传输机密性（机密性（Confidenttiality）保证数据在公网上的隐藏性和安全性完整性（完整性（Integrit

3、y）保证数据没有被改变认证性（认证性（Authentication）数据的来源是否可靠VPN的三要素VPN介绍1800系列多核墙 IPSec VPN配置-基于策略VPN配置-基于路由VPN配置1800系列多核墙SSL VPN配置-SecureConnect VPN议程：VPN部署按照VPN数据驱动类型分为：基于策略的（Policy-based）基于路由的（Policy-based）Site-to-SiteLANSite1ServerSite2InternetIKE VPN为自动协议方式，配置包括：第一步，配置IKE VPN配置P1提议（可选）配置ISAKMP网关配置P2提议（可选）配置隧道第二

4、步A（基于策略）：配置VPN安全策略，策略行为选择隧道或者来自隧道第二步B（基于路由）：绑定Tunnel接口，添加通过Tunnel接口到对端访问的路由，根据Tunnel接口绑定安全域配置普通流量策略配置过程 配置P1提议WebUI：VPNIPSec VPNP1提议配置IKE VPN-P1提议 配置ISAKMP网关（对端）WebUI：VPNIPSec VPNVPN对端配置IKE VPN-对端网关对端名称出站接口协商模式对端类型对端IP第一阶段提议预共享密钥WebUI：VPNIPSec VPNP2提议配置IKE VPN-P2提议WebUI：VPNIPSec VPNIPSec VPN导入对端，点击“

5、步骤2：隧道”配置IKE VPN-隧道 配置策略 配置策略指定哪些流量通过VPN转发，并指明转发所使用隧道，如果需双向策略，可以根据提示自动生成反向策略然后根据需求到相应反向策略中修改。配置策略前需先定义本地及对端IPA、基于策略VPN-2选1本地内网网段远段内网网段通过VPN转发流量使用哪个VPN隧道是否生成反向策略防火墙NAT源NAT添加不做NAT规则本地内网网段远段内网网段不做NAT移到首位 配置隧道接口网络接口新建 下拉框选择B、基于路由VPN-2选1Tunnel接口名称安全域类型绑定IPSec隧道选择隧道 创建到隧道接口的路由网络路由目的路由新建B、基于路由VPN 创建普通permi

6、t策略根据tunnel接口绑定的安全域，需要添加相应的安全策略，action为普通permit策略如需双向访问，需添加进站策略，如上图交换源、目的安全域即可B、基于路由VPN普通允许行为DebugVPN排错步骤第一步，“show ipsec sa”查看phase 2 SA是否已经建立；第二步，如果phase 2 SA未正常建立，“show isakmp sa”查看phase 1 SA是否建立；第三步，如果phase 2 SA已经建立，“debug dp ipsec”查看数据是否正常进入tunnel并正确处理第四步，如果没有数据进入tunnel，“debug dp basic，debug dp

7、error，debug dp snoop”查看数据里面的处理情况。VPN介绍1800系列多核防火墙 IPSec VPN配置-基于策略VPN配置-基于路由VPN配置多核墙系列多核防火墙 SSL VPN配置-SecureConnect VPN议程：VPN部署SCVPN简介PC客户端介绍SSL VPN接入端介绍SCVPN配置调试与维护SecureConnect VPN实现功能实现远程安全访问实现功能组件PC客户端SSL VPN接入端Local/Radius/LDAP等认证端SCVPN简介客户端软件下载通过IE浏览器下载通过Nescape/Firefox下载客户端软件连接通过IE浏览器连接通过客户端软

8、件进行连接客户端作用负责接受客户端连接负责客户端IP地址/DNS/WINS地址分配负责客户端用户认证和授权负责数据加密和转发SCVPN客户端 地址池配置 配置分配给客户端的地址池 SCVPN地址池SCVPN配置-地址池客户端地址池网络掩码 SCVPN实例配置：SCVPNSCVPN实例SCVPN配置-实例配置登陆端口SCVPN实例名称绑定外网接口客户端地址池 SCVPN实例配置（续）：SCVPNSCVPN实例SCVPN配置-实例配置（续）通过SCVPN访问网段认证服务器 Tunnel接口配置：网络网络接口接口新建新建 下拉框选择SCVPN配置-创建隧道接口必须与SCVPN地址池同网段 策略配置

9、根据tunnel绑定安全域配置策略SCVPN配置-添加策略调试与维护（一）Show 显示SCVPN实例信息：show tunnel scvpn scvpn-instance-name 显示指定SCVPN实例当前在线的客户端信息 show scvpn client scvpn-instance-name user user-name 显示通过浏览器访问SCVPN的HTTP会话信息：show scvpn session scvpn-instance-name user user-name 显示所有SCVPN实例当前在线的客户端信息:show auth-user scvpn调试与维护（二）Debug debug scvpn error debug scvpn event debug scvpn filter debug scvpn packet debug scvpn per-ip debug scpvn timers小结 在本章中讲述了以下内容 VPN的概念 如何配置基于策略的VPN 如何配置基于路由的VPN 如何配置SCVPN问题1、神州数码多核防火墙支持哪几种类型的VPN？2、配置site-to-siteIPSec VPN的步骤是？3、一台多核防火墙可以配置多个SCVPN实例吗？如果可以，它的作用是什么？THANKS!