資源描述:
《華賽防火墻usg2210 l2tp over ipsecvpn配置實例》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、華賽防火墻USG2210L2TPoverIPsecVPN配置實例2011-07-2512:06:47標簽:IPsecVPN華賽防火墻USG2210L2TP原創(chuàng)作品,允許轉(zhuǎn)載,轉(zhuǎn)載時請務必以超鏈接形式標明文章原始出處、作者信息和本聲明。否則將追究法律責任。http://boochem.blog.51cto.com/628505/622658武漢通威電子有限公司陳波2011-6-16目錄項目需求...3類似的一個拓撲...3VPN配置步驟...3VPN客戶端的選擇和配置...7完整防火墻配置參考...15?項目需求公司總部使用防火墻(以USG3000為例)
2、接入Internet。公司出差員工安全訪問公司總部資源。出差員工在PC上安裝VPNClient,向USG2210(LNS設備)發(fā)起連接請求并建立L2TP+IPSec隧道,通過L2TP+IPSec隧道與公司內(nèi)部其他用戶進行通信或訪問資源。用戶通過代理服務器與LNS建立VPN隧道。允許用戶在訪問公司總部資源的同時訪問Internet資源。使用預共享密鑰驗證方式。類似的一個拓撲VPN配置步驟#創(chuàng)建并配置虛擬接口模板。interfaceVirtual-Template1ipaddress10.10.10.124pppauthentication-modecha
3、premoteaddresspool1quit#配置虛擬接口模板加入安全區(qū)域。虛擬接口模板可以加入LNS的任一安全區(qū)域。firewallzonetrustaddinterfaceVirtual-Template1quit#配置域間包過濾規(guī)則,允許LNS側(cè)與通道相連的接口所在的安全區(qū)域與Local安全區(qū)域互通。#好像防火墻默認就有,沒有則加上firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinter
4、zonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectioninboundfirewallpacket-filterdefaultpermitinte
5、rzonelocaldmzdirectionoutboundfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonetrustdmzdirectioninboundfirewallpacket-filterdefaultpermitinter
6、zonetrustdmzdirectionoutboundfirewallpacket-filterdefaultpermitinterzonedmzuntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonedmzuntrustdirectionoutbound#啟用L2TP功能。l2tpenable#創(chuàng)建L2TP組。l2tp-group1#配置隧道本端名稱。tunnelnamelnsallowl2tpvirtual-template1remoteclient#禁止L2TP隧道驗
7、證。undotunnelauthenticationquit說明:配置Client-Initialized方式的L2TP時,需要禁止L2TP隧道驗證。#進入AAA視圖,創(chuàng)建本地用戶名和密碼并配置用戶類型(應與用戶側(cè)配置一致)。aaalocal-useradminpasswordsimpleAdmin@123local-useradminservice-typeppp#在aaa中定義地址池,為撥入用戶分配IP地址。ippool110.10.10.10010.10.10.200quit說明:從地址池中分配給客戶端的IP地址不能與USG的接口GigabitE
8、thernet0/0的IP地址在同一網(wǎng)段。?#配置IPSec。#創(chuàng)建名為tran1的IPSec