網(wǎng)關(guān)模式配置指導(dǎo)培訓(xùn)

目錄1.1 VPN（網(wǎng)目錄1.1 VPN（網(wǎng)關(guān)模式）配置指 VPN（客戶端模式）配置指 VPN（NAT穿越模式）配置指 L2TPVPN配置指 PPTPVPN配置指 SSLVPN（在線模式）配置指 SSLVPN（旁路模式）配置指 GREVPN配置指 其 I1.1 穩(wěn)定的隧道。支 L2TP（To1.1 穩(wěn)定的隧道。支 L2TP（ToL2TP（ToPPTP（ToPPTP（ToSSL（ForSSL（For1.1.1IPSecVPN（網(wǎng)關(guān)模式）配置指功能簡(jiǎn)IPsec（IPsecurity，IP安全性）IETFIPISAKMP：密鑰管理協(xié)議ISAKMP，提供共享安全信息。Internet定義在應(yīng)用層,IETF規(guī)定了AssociationandKeyManagement安全協(xié)議和ISAKMP(Internet來實(shí)現(xiàn)IPSec的密鑰管理,為身份認(rèn)證的SA：安全聯(lián)盟SA，記錄每條IP安全通路的策略和策略參數(shù)。安全聯(lián)盟是第1鑰以及密鑰有效期等。AHESP都要用到安全聯(lián)盟，IKEAH：它用來向 通信提供鑰以及密鑰有效期等。AHESP都要用到安全聯(lián)盟，IKEAH：它用來向 通信提供數(shù)據(jù)完整性和身份驗(yàn)證，同時(shí)可以提供抗重播服務(wù)ESP：它提供TunnelMode：IPAHESP頭，AHESP頭以ESPIP全網(wǎng)關(guān)之間的通訊TransportMode：AHESP頭，AHESPESP加密的用戶數(shù)據(jù)被放置在原IP的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊，定義了一個(gè)通用格式NATraversalIPSec提供了端到端的IP通信的安全NAT環(huán)境下對(duì)的支持有限，AHNATAHESP協(xié)議NAT環(huán)境下最多只能有一VPN主機(jī)能建立VPN通道，無法實(shí)現(xiàn)多臺(tái)機(jī)器同時(shí)在NAT環(huán)境下進(jìn)行ESP通信。NAT穿越（NATTraversal，NAT-T）就是為解決這個(gè)問題而提出的。該方ESP協(xié)議包封裝到UDP包中（在原ESP協(xié)議的包頭外添加新的IP頭和UDP頭之可以在NAT環(huán)境下使用的一種方法，這樣NATIPSecVPN網(wǎng)絡(luò)拓某企業(yè)兩個(gè)分部的FW通過Internet采用IPSec_VP“網(wǎng)關(guān)-PC1PC2第2②外層內(nèi)層：Src:00IPSecVPN通⑤外層內(nèi)層：Src:00配置概詳細(xì)配(1)訪問：基>網(wǎng)絡(luò)管理>接口②外層內(nèi)層：Src:00IPSecVPN通⑤外層內(nèi)層：Src:00配置概詳細(xì)配(1)訪問：基>網(wǎng)絡(luò)管理>接口>組網(wǎng)配置，配置接口參FW1組網(wǎng)配置第31配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)45包過濾策通過配置安全域、地址對(duì)象/組、服務(wù)對(duì)象/組、生效時(shí)間等參數(shù)，對(duì)指定數(shù)據(jù)報(bào)文進(jìn)行“通過”、“丟包”及“高級(jí)安全業(yè)6IPSec保護(hù)網(wǎng)當(dāng)成功建立IPSec隧道后，可訪問所設(shè)置的保護(hù)網(wǎng)段資7IPSec策略方8可自定義設(shè)置IPSec_VPN系統(tǒng)配置，并使能策FW2組網(wǎng)配置訪問：基>網(wǎng)絡(luò)FW2組網(wǎng)配置訪問：基>網(wǎng)絡(luò)管>安全域，配置安FW1安全域配FW2安全域配第4>訪問：基>網(wǎng)絡(luò)管單播IPv4路>FWFW>訪問：基>網(wǎng)絡(luò)管單播IPv4路>FWFW訪問：基>防火FW1源NAT配置FW2源NAT配置說明：此處“源NAT”為允許本端網(wǎng)絡(luò)訪問Internet訪問：基>防火>包過濾策略（包過濾策略，配置包過濾第5FW1包過濾策略配置FW2包過濾策略配置FW1包過濾策略配置FW2包過濾策略配置說明：本案例包過濾策略允許所有數(shù)據(jù)包通過，現(xiàn)網(wǎng)中可依據(jù)真實(shí)環(huán)境對(duì)源、目的地及服務(wù)進(jìn)行精細(xì)化訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（保護(hù)網(wǎng)段FWFW訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（策略方式第6FW1策略方式配置FW2策略方式配置FW1策略方式配置FW2策略方式配置說明：關(guān)于“高級(jí)1、協(xié)商模式：IKE協(xié)商第一階段的模式，有主模式（Main）和野蠻模式（Aggressive）兩種根據(jù)需求選擇協(xié)商模式；主模式更安全，野蠻模式協(xié)商速度更快，兩端或多端都要設(shè)臵同的模2、安全提議：記錄每條IP安全通路的策略和策略參數(shù)。安全提議是IPSec的基礎(chǔ)，是通雙方建立的一種協(xié)定，決定了用來保護(hù)數(shù)據(jù)包的協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰有效期等雙方協(xié)商的安全提議中至少要有一對(duì)是相同的才能建立連接，默認(rèn)（default）代表發(fā)送受所有安全提議組3、封裝模式：只是傳輸層數(shù)據(jù)被用來計(jì)AHESPAHESP以及ESP密的戶數(shù)據(jù)被放臵在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)一個(gè)安全網(wǎng)關(guān)之間的通訊；隧道模式則通常用于兩臺(tái)本身具有IPSec封裝功能且通信終結(jié)為自身的主機(jī)或設(shè)4、加密失敗動(dòng)作：當(dāng)IPSec啟動(dòng)后，如果經(jīng)過設(shè)備的報(bào)文匹配上了IPSec安全策略，但此第7IPSec連接并未建立時(shí)，DPtech防火墻提供了兩種動(dòng)作IPSec連接并未建立時(shí)，DPtech防火墻提供了兩種動(dòng)作供用戶選擇，Allow代表放通該報(bào)文Drop代表直接丟棄該報(bào)文（Drop一般用于防止VPN明文被傳輸?shù)焦W(wǎng)訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（系統(tǒng)配置FW1IPSec_VPNFW2IPSec_VPN說明：若無特殊需求，建議“高級(jí)配臵”使用默認(rèn)配功能驗(yàn)當(dāng)兩臺(tái)設(shè)備成功建立IPSec_VPNFW1連接狀態(tài)第8FW2連接狀態(tài)PC1FW2連接狀態(tài)PC1Ping第9常見問-常見問1IPsecVPN建立不成功，一般與兩端VPN1、兩端網(wǎng)關(guān)之間路由不可達(dá)：包括PC常見問-常見問1IPsecVPN建立不成功，一般與兩端VPN1、兩端網(wǎng)關(guān)之間路由不可達(dá)：包括PC2IPUntrust域與Trust域之間的包過濾等3IKE安全提議不一致：包括安全提議采用的驗(yàn)證算法，驗(yàn)證方法等是否一致，及IPSecSA協(xié)商時(shí)間是否一致；4IKEPeerIKEPeer隧道對(duì)端的IPID是否一致第101常見IPsec_VPN建立丌成功問2IPsec_VPN業(yè)務(wù)運(yùn)行一段時(shí)間后，業(yè)務(wù)中斷問6IPSec安全提議不一致：包括IPSec裝模式，安全協(xié)議，認(rèn)證算法和加密算法等是否一致6IPSec安全提議不一致：包括IPSec裝模式，安全協(xié)議，認(rèn)證算法和加密算法等是否一致-常見問2IPsec_VPN業(yè)務(wù)運(yùn)行一段時(shí)間后業(yè)務(wù)中斷可能出現(xiàn)在與其他廠家VPNIKESAVPN1.1.2IPSecVPN（客戶端模式）配置指功能簡(jiǎn)IPsec（IPsecurity，IP安全性）IETFIPISAKMP：密鑰管理協(xié)議ISAKMP，提供共享安全信息。Internet定義在應(yīng)用層,IETF規(guī)定了AssociationandKeyManagement安全協(xié)議和ISAKMP(Internet來實(shí)現(xiàn)IPSec的密鑰管理,為身份認(rèn)證的SA：安全聯(lián)盟SA，記錄每條IP安全通路的策略和策略參數(shù)。安全聯(lián)盟是鑰以及密鑰有效期等。AHESP都要用到安全聯(lián)盟，IKEAH：它用來向 通信提供數(shù)據(jù)完整性和身份驗(yàn)證，同時(shí)可以提供抗重播服務(wù)ESP：它提供TunnelMode：IPAHESP頭，AHESP頭以ESPIP全網(wǎng)關(guān)之間的通訊TransportMode：AHESP頭，AHESPESP加密的用戶數(shù)據(jù)被放置在原IP11NATraversalIPSec提供了端到端的IP通信的安全NAT環(huán)境下對(duì)的支持有限，AHNATAHESP協(xié)議NAT環(huán)境下最多只NATraversalIPSec提供了端到端的IP通信的安全NAT環(huán)境下對(duì)的支持有限，AHNATAHESP協(xié)議NAT環(huán)境下最多只能有一VPN主機(jī)能建立VPN通道，無法實(shí)現(xiàn)多臺(tái)機(jī)器同時(shí)在NAT環(huán)境下進(jìn)行ESP通信。NAT穿越（NATTraversal，NAT-T）就是為包頭外添加新的IP頭和UDP頭之可以在NAT環(huán)境下使用的一種方法，這樣NATIPSecVPN網(wǎng)絡(luò)拓某企業(yè)總部互聯(lián)網(wǎng)出口部署防火墻，啟用客戶端模式IPsec_VPN，外部出差員通過客戶端IPsec_VPN撥入總部?jī)?nèi)網(wǎng)進(jìn)行辦公，其中總部?jī)?nèi)網(wǎng)網(wǎng)段為IPsecVPN/24FWRT可在Internet①外層 內(nèi)層：Src:IPSecVPN通④外層內(nèi)層：Src:00配置概121配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)45包過濾策數(shù)，對(duì)指定數(shù)據(jù)報(bào)文進(jìn)行“通過”、“丟包”及“高詳細(xì)配>>>>>>>>單播IPv4>靜態(tài)路由（配置靜態(tài)路由第詳細(xì)配>>>>>>>>單播IPv4>靜態(tài)路由（配置靜態(tài)路由第13務(wù)”的處6IPSec保護(hù)網(wǎng)當(dāng)成功建立IPSec隧道后，可訪問所設(shè)置的保護(hù)網(wǎng)段資7IPSec策略方8Xauth9可自定義設(shè)置IPSec_VPN系統(tǒng)配置，并使能策IPSecIPSec_VPN客戶端詳細(xì)配訪問：基>防火>源NAT說明：此處“源NAT”為允許本端訪問：基>防火>源NAT說明：此處“源NAT”為允許本端網(wǎng)絡(luò)訪問Internet訪問：基>防火>包過濾策略（包過濾策略，配置包過濾說明：本案例包過濾策略允許所有數(shù)據(jù)包通過，現(xiàn)網(wǎng)中可依據(jù)真實(shí)環(huán)境對(duì)源、目的地及服務(wù)進(jìn)行精細(xì)化訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（保護(hù)網(wǎng)段訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（策略方式第14說明說明：關(guān)于“高級(jí)1、協(xié)商模式：IKE協(xié)商第一階段的模式，有主模式（Main）和野蠻模式（Aggressive）兩種根據(jù)需求選擇協(xié)商模式；主模式更安全，野蠻模式協(xié)商速度更快，兩端或多端都要設(shè)臵同的模2、安全提議：記錄每條IP安全通路的策略和策略參數(shù)。安全提議是IPSec的基礎(chǔ)，是通雙方建立的一種協(xié)定，決定了用來保護(hù)數(shù)據(jù)包的協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰有效期等雙方協(xié)商的安全提議中至少要有一對(duì)是相同的才能建立連接，默認(rèn)（default）代表發(fā)送受所有安全提議組3、封裝模式：只是傳輸層數(shù)據(jù)被用來計(jì)AHESPAHESP以及ESP密的戶數(shù)據(jù)被放臵在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)一個(gè)安全網(wǎng)關(guān)之間的通訊；隧道模式則通常用于兩臺(tái)本身具有IPSec封裝功能且通信終結(jié)第15DPDIPSec>VPN>DPDIPSec>VPN>IPSec>IPSecXauth配置（客戶信息配置>VPN>IPSec>IPSecVPN（系統(tǒng)配置(10)IPSec第16功能驗(yàn)當(dāng)客戶端與設(shè)備成功建立查看IPsec_VPN第功能驗(yàn)當(dāng)客戶端與設(shè)備成功建立查看IPsec_VPN第17PC2Ping常見問第18PC2Ping常見問第181在Winvista/7/8環(huán)境下IPsec_VPN客戶端無法安裝或無法運(yùn)-常見問11.1.3IPSecVPN（NAT穿越模式）配置指-常見問11.1.3IPSecVPN（NAT穿越模式）配置指功能簡(jiǎn)IPsec（IPsecurity，IP安全性）IETFIPISAKMP：密鑰管理協(xié)議ISAKMP，提供共享安全信息。Internet定義在應(yīng)用層,IETF規(guī)定了 安全協(xié)議和ISAKMP(InternetAssociationandKeyManagementProtocol) 來實(shí)現(xiàn)IPSec的密鑰管理,為身份認(rèn)證的SASA：安全聯(lián)盟SA，記錄每條IP安全通路的策略和策略參數(shù)。安全聯(lián)盟是鑰以及密鑰有效期等。AHESP都要用到安全聯(lián)盟，IKEAH：它用來向 通信提供數(shù)據(jù)完整性和身份驗(yàn)證，同時(shí)可以提供抗重播服務(wù)ESP：它提供TunnelMode：IPAHESP頭，AHESPESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IPTransportMode：AHESP頭，AHESPESP加密的用戶數(shù)據(jù)被放置在原IP的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊，定義了一個(gè)通用格式NATraversalIPSecIPNAT環(huán)境下對(duì)第19的支持有限，AHNATAHESP協(xié)議NAT環(huán)境下最多只能有一VPN主機(jī)能建立VPN通道，無法實(shí)現(xiàn)多臺(tái)機(jī)器同時(shí)在NAT環(huán)境下進(jìn)行ESP通信。NAT穿越（NATTraversal，NAT-T）就的支持有限，AHNATAHESP協(xié)議NAT環(huán)境下最多只能有一VPN主機(jī)能建立VPN通道，無法實(shí)現(xiàn)多臺(tái)機(jī)器同時(shí)在NAT環(huán)境下進(jìn)行ESP通信。NAT穿越（NATTraversal，NAT-T）就是為包頭外添加新的IP頭和UDP頭之可以在NAT環(huán)境下使用的一種方法，這樣NATIPSecVPN網(wǎng)絡(luò)拓FW采用IPSec_VPN網(wǎng)關(guān)-PC1FW1直連Internet，F(xiàn)W2NAT設(shè)備訪問Internet②③外層：Src:內(nèi)層：Src:00IPSecVPN通/24Gige0_3⑦⑥外層內(nèi)層：Src:00配置概201配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)45包過濾策通過配置安全域、地址對(duì)象/組、服務(wù)對(duì)象/組、生效時(shí)間等參數(shù)，對(duì)指定數(shù)據(jù)報(bào)文進(jìn)行“通過”、“丟包”及“高級(jí)安全業(yè)7IPSec保護(hù)網(wǎng)當(dāng)成功建立IPSec隧道后，可訪問所設(shè)置的保護(hù)網(wǎng)段資詳細(xì)配訪問：基>網(wǎng)絡(luò)管>>FWFW>>訪問：基詳細(xì)配訪問：基>網(wǎng)絡(luò)管>>FWFW>>訪問：基>網(wǎng)絡(luò)管FW1安全域配第218IPSec策略方9可自定義設(shè)置IPSec_VPN系統(tǒng)配置，并使能策FW2安全域配訪問：基>網(wǎng)絡(luò)管>單播IPv4FW2安全域配訪問：基>網(wǎng)絡(luò)管>單播IPv4路>FWFW訪問：基>防火FW1源NAT配置第22說明1、此處“源NAT”為允許本端網(wǎng)絡(luò)訪問2、本案例中FW2通過路由轉(zhuǎn)發(fā)，無需配臵源NAT說明1、此處“源NAT”為允許本端網(wǎng)絡(luò)訪問2、本案例中FW2通過路由轉(zhuǎn)發(fā)，無需配臵源NAT訪問：基>防火>包過濾策略（包過濾策略，配置包過濾FW1包過濾策略配置FW2包過濾策略配置(6)訪問：業(yè)VPNIPSecIPSecVPN（保護(hù)網(wǎng)段，配置保護(hù)網(wǎng)FW1保護(hù)網(wǎng)段配置第23FW2保護(hù)網(wǎng)段配置FW2保護(hù)網(wǎng)段配置訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（策略方式FW1策略方式配置FW2策略方式配置注意：FW2策略方式的“本端設(shè)備ID”為FW2的接口地ID”為的公網(wǎng)地址，“本端設(shè)備ID”為NAT設(shè)備的公網(wǎng)地址說明：關(guān)于“高級(jí)1、協(xié)商模式：IKE協(xié)商第一階段的模式，有主模式（Main）和野蠻模式（Aggressive）兩種根據(jù)需求選擇協(xié)商模式；主模式更安全，野蠻模式協(xié)商速度更快，兩端或多端都要設(shè)臵同的模2、安全提議：記錄每條IP安全通路的策略和策略參數(shù)。安全提議是IPSec的基礎(chǔ)，是通第24雙方建立的一種協(xié)定，決定了用來保護(hù)數(shù)據(jù)雙方建立的一種協(xié)定，決定了用來保護(hù)數(shù)據(jù)包的協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰有效期等雙方協(xié)商的安全提議中至少要有一對(duì)是相同的才能建立連接，默認(rèn)（default）代表發(fā)送受所有安全提議組3、封裝模式：只是傳輸層數(shù)據(jù)被用來計(jì)AHESPAHESP以及ESP密的戶數(shù)據(jù)被放臵在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)一個(gè)安全網(wǎng)關(guān)之間的通訊；隧道模式則通常用于兩臺(tái)本身具有IPSec封裝功能且通信終結(jié)為自身的主機(jī)或設(shè)4、加密失敗動(dòng)作：當(dāng)IPSec啟動(dòng)后，如果經(jīng)過設(shè)備的報(bào)文匹配上了IPSec安全策略，但此IPSec連接并未建立時(shí)，DPtech防火墻提供了兩種動(dòng)作供用戶選擇，Allow代表放通該報(bào)文Drop代表直接丟棄該報(bào)文（Drop一般用于防止VPN明文被傳輸?shù)焦W(wǎng)訪問：業(yè)務(wù)>VPN>IPSec>IPSecVPN（系統(tǒng)配置FW1IPSec_VPNFW2IPSec_VPN第25說明：若無特殊需求，建議說明：若無特殊需求，建議“高級(jí)配臵”使用默功能驗(yàn)當(dāng)兩臺(tái)設(shè)備成功建立IPSec_VPNFW1連接狀態(tài)FW2連接狀態(tài)PC2Ping第26常見問-常見問1穿越NAT時(shí)無法建立IPsec_VPN常見問-常見問1穿越NAT時(shí)無法建立IPsec_VPN1、IPsecAH模式，IPsec_VPN穿越NATAH更改成ESP模式AH報(bào)文第271穿越NAT無法建立IPsec_VPNESP報(bào)文第28ESP報(bào)文第282、未開啟“啟用NAT3VPNUDP45002、未開啟“啟用NAT3VPNUDP4500以及1.1.4L2TPVPN配置指功能簡(jiǎn)L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTPPPTP要求網(wǎng)絡(luò)為IPL2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP網(wǎng)絡(luò)拓某企業(yè)外部出差人員需要使用移動(dòng)PC接入L2TP_VPN第29①②L2TP_VPNIPL2TP_VPN③④配置概詳細(xì)配(1)訪問：基>網(wǎng)絡(luò)>>組網(wǎng)配置，配置接口參30①②L2TP_VPNIPL2TP_VPN③④配置概詳細(xì)配(1)訪問：基>網(wǎng)絡(luò)>>組網(wǎng)配置，配置接口參301配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)45L2TP創(chuàng)建L2TP分配的虛擬地址，用于在L2TP參數(shù)配置中引6創(chuàng)建L2TP認(rèn)證用戶，驗(yàn)證通過后可成功建立L2TP_VPN7通過LNS或LACL2TP_VPN，客戶端成功撥入后會(huì)8包過濾策通過配置安全域、地址對(duì)象/組、服務(wù)對(duì)象/組、生效時(shí)間等參數(shù)，對(duì)指定數(shù)據(jù)報(bào)文進(jìn)行“通過”、“丟包”及“高級(jí)安全業(yè)9PC訪問：基>網(wǎng)絡(luò)管理>網(wǎng)絡(luò)>安全域，配置安訪問：基>網(wǎng)絡(luò)管理>網(wǎng)絡(luò)>安全域，配置安注意：template1接口必須>網(wǎng)絡(luò)管理>單播IPv4>靜態(tài)路由（配置靜態(tài)路由>>VPN>L2TP（L2TP地址池第31>VPN>L2TP（L2TP用戶認(rèn)證L2TP（>VPN>L2TP（L2TP用戶認(rèn)證L2TP（L2TP說明：本案例未涉及域配臵，可依據(jù)實(shí)際環(huán)境配臵域參數(shù)訪問：基>防火>包過濾策略（包過濾策略，配置包過濾說明：本案例包過濾策略允許所有數(shù)據(jù)包通過，現(xiàn)網(wǎng)中可依據(jù)真實(shí)環(huán)境對(duì)源、目的地及服務(wù)進(jìn)行精細(xì)化(9)L2TP客戶IPSEC；點(diǎn)擊“開始–第32ProhibitIpSec”值：ProhibitIpSec”值：1第33重啟計(jì)算機(jī)后，新建連接（VPN重啟計(jì)算機(jī)后，新建連接（VPN第34配置第35配置第35輸入第36輸入第36類第37類第37第38第38功能驗(yàn)成功建立設(shè)備L2TP功能驗(yàn)成功建立設(shè)備L2TP運(yùn)行狀態(tài)（tunnl&sesion：第39常見問-常見問1客戶端接入 1、template1常見問-常見問1客戶端接入 1、template13、L2TPVPNL2TP4、L2TP5IP-常見問2客戶端接入1IP1.1.5PPTPVPN配置指功能簡(jiǎn)PPTPInternetL2TP第401客戶端接入L2TP_VPN2客戶端接入L2TP_VPN正常，但丌能訪問內(nèi)網(wǎng)資樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過也有不同之處，比如L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接，PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)；L2TP使用多隧道，PPTP使用單一隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP網(wǎng)絡(luò)拓某企業(yè)外部出差人員需要使用移動(dòng)PC接入PPTP_VPN①②PPTP_VPNIPPPTP_VPN樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過也有不同之處，比如L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接，PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)；L2TP使用多隧道，PPTP使用單一隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP網(wǎng)絡(luò)拓某企業(yè)外部出差人員需要使用移動(dòng)PC接入PPTP_VPN①②PPTP_VPNIPPPTP_VPN④③配置概411配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)45創(chuàng)建PNSPPTP_VPN，客戶端成功撥入后會(huì)建立隧道，6包過濾策通過配置安全域、地址對(duì)象/組、服務(wù)對(duì)象/組、生效時(shí)間等參數(shù)，對(duì)指定數(shù)據(jù)報(bào)文進(jìn)行“通過”、“丟包”及“高級(jí)安全業(yè)7PC詳細(xì)配>>>>>>注意：template1接口必須>網(wǎng)絡(luò)管詳細(xì)配>>>>>>注意：template1接口必須>網(wǎng)絡(luò)管理>單播IPv4>靜態(tài)路由（配置靜態(tài)路由>VPNPPTP（PPTP第42(6)訪問：基>防火>(6)訪問：基>防火>包過濾策略（包過濾策略，配置包過濾說明：本案例包過濾策略允許所有數(shù)據(jù)包通過，現(xiàn)網(wǎng)中可依據(jù)真實(shí)環(huán)境對(duì)源、目的地及服務(wù)進(jìn)行精細(xì)化(7)PPTP客戶第43連接（VPN第連接（VPN第44配置第45配置第45第46第46類第47類第47第48第48功能驗(yàn)成功建立常見問功能驗(yàn)成功建立常見問第49-常見問1客戶端接入PPTP_VPN1、template12、PPTPVPNPPTP3、PPTP-常見問1客戶端接入PPTP_VPN1、template12、PPTPVPNPPTP3、PPTP4IP-常見問2客戶端接入PPTP_VPN1IP1.1.6SSLVPN（在線模式）配置指功能簡(jiǎn)SSL_VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)的IPSec_VPN相比，SSL通過簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽的機(jī)器都可以使用SSL_VPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要象傳網(wǎng)絡(luò)拓某企業(yè)外部出差人員需要使用移動(dòng)PC或手機(jī)接入SSL_VPN第501客戶端接入PPTP_VPN2客戶端接入PPTP_VPN正常，但丌能訪問①②SSL_VPN③④配置概詳細(xì)配(1)訪問：基>>組網(wǎng)配置，配置接口參511配①②SSL_VPN③④配置概詳細(xì)配(1)訪問：基>>組網(wǎng)配置，配置接口參511配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)456創(chuàng)建SSL_VPN證用戶，驗(yàn)證通過后可SSL_VPN7可自定義設(shè)置SSL_VPN登陸參數(shù)，并使能8包過濾策9Windows客戶Windows系統(tǒng)PC登陸SSL_VPN詳細(xì)配Android客戶Android系統(tǒng)手機(jī)登陸SSL_VPNIOS系統(tǒng)手機(jī)登陸SSL_VPN詳細(xì)訪問：基>網(wǎng)絡(luò)管理>網(wǎng)絡(luò)>安全域，配訪問：基>網(wǎng)絡(luò)管理>網(wǎng)絡(luò)>安全域，配置安注意：tunnel_ssl0接口必須加入安>網(wǎng)絡(luò)管理>單播IPv4>靜態(tài)路由（配置靜態(tài)路由，配>VPNSSLVPN資源管理（資源配置，配置VPN資第52說明1、下發(fā)資源配臵（IP資源、Web資源說明1、下發(fā)資源配臵（IP資源、Web資源、快捷方式、公告簡(jiǎn)訊）后，方可在資2、Web支持HTTP/HTTPS式的URLIP址；快捷方式的Web式為具體鏈接，命令行方式為Windows的Dos命令；公告簡(jiǎn)訊顯示在VPN登陸成功頁面訪問：業(yè)VPNSSLVPN用戶管理（用戶配置說明：下發(fā)用戶組配臵后，方可在用戶信息中引用訪問：業(yè)VPNSSLVPN基本配置（全局配置SSL第53(8)訪問：基>防火>包過濾策略（(8)訪問：基>防火>包過濾策略（包過濾策略，配置包過濾說明：本案例包過濾策略允許所有數(shù)據(jù)包通過，現(xiàn)網(wǎng)中可依據(jù)真實(shí)環(huán)境對(duì)源、目的地及服務(wù)進(jìn)行精細(xì)化(9)Windows客戶【W(wǎng)indowsWindows客戶端使用IESSL_VPN服務(wù)“:6443第54首次登陸SSL_VPN第55首次登陸SSL_VPN第55第56第56(10)Android-【AndroidAndroid客戶端使用瀏覽器軟件訪問服務(wù)“htp://2(10)Android-【AndroidAndroid客戶端使用瀏覽器軟件訪問服務(wù)“htp://:6443第57第第58第59第59第60第60輸入登陸的相關(guān)參數(shù)，保存配置；長(zhǎng)按已創(chuàng)建的第61輸入登陸的相關(guān)參數(shù)，保存配置；長(zhǎng)按已創(chuàng)建的第61第62第62(11)IOS第63(11)IOS第63-【IOSIOS客戶端撥入時(shí)，需先撥入IPSec_VPN，再撥入有SSL_VPN配置基礎(chǔ)上，創(chuàng)IPSec_VPN-【IOSIOS客戶端撥入時(shí)，需先撥入IPSec_VPN，再撥入有SSL_VPN配置基礎(chǔ)上，創(chuàng)IPSec_VPN策略配置IPSec_VPN保護(hù)網(wǎng)段，需配置“/0添加IPSec_VPN第64啟用IPSec啟用IPSec第65第66第66第67第67成功撥入第68成功撥入第68功能驗(yàn)成功建立可訪問第69功能驗(yàn)成功建立可訪問第69常見問-常見問1SSL_VPN1、tunnel_ssl0接口是否加入到安全域2、VPN常見問-常見問1SSL_VPN1、tunnel_ssl0接口是否加入到安全域2、VPN用戶密碼是否匹配3、Windowshttps的方式訪問IP64434、AndroidSSL_VPN5、IOS客戶端檢查IPSec的配置（SSL_VPN基礎(chǔ)上配置IPSec）的保護(hù)網(wǎng)段必須是/0，再檢查SSL_VPN的配置6IP-常見問2客戶端接入SSL_VPN1IP-常見問3第701客戶端接入SSL_VPN2客戶端接入SSL_VPN正常，但丌能訪問內(nèi)網(wǎng)資3Windows防火墻阻止SSL_VPN客戶端，無法正常使引起SSL_VPN業(yè)務(wù)訪問異常，引起SSL_VPN業(yè)務(wù)訪問異常，解決方案如下解決方案1：關(guān)閉Windows防火墻功能（不推薦解決方案2：SSL_VPN客戶端加入Windows防火墻信任列表。訪問Windows系統(tǒng)的“控制面板>系統(tǒng)和安全>Windows防火墻>或功能通過第71點(diǎn)擊“瀏覽”，將client點(diǎn)擊“瀏覽”，將client.exe；第721.1.7SSLVPN（旁路模式）配置1.1.7SSLVPN（旁路模式）配置指功能簡(jiǎn)SSL_VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)的IPSec_VPN相比，SSL通過簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL_VPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)網(wǎng)絡(luò)拓某企業(yè)外部出差人員需要使用移動(dòng) 接入SSL_VPN，能夠通過公司公網(wǎng)地第73②①③④⑤⑥①成功撥入SSL_VPN后，PCB訪問PCA5->內(nèi)層為FWNATNAT②5，內(nèi)層②①③④⑤⑥①成功撥入SSL_VPN后，PCB訪問PCA5->內(nèi)層為FWNATNAT②5，內(nèi)層為③VPN->啟源NAT策略，在匹配NAT后，數(shù)據(jù)報(bào)文；PCA對(duì)請(qǐng)求報(bào)文進(jìn)行響應(yīng)，數(shù)據(jù)報(bào)文為->；④⑤NAT請(qǐng)求表項(xiàng)進(jìn)行數(shù)據(jù)還原，數(shù)據(jù)報(bào)文為->，從->5，內(nèi)層為->；⑥根據(jù)目的NAT->-配置概741配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務(wù)轉(zhuǎn)2安全3數(shù)據(jù)報(bào)文根據(jù)手工配置的目的網(wǎng)段信息，進(jìn)行路由轉(zhuǎn)4詳細(xì)配>>接口>>>網(wǎng)絡(luò)>說明：tunnel_ssl0接口必須加入安詳細(xì)配>>接口>>>網(wǎng)絡(luò)>說明：tunnel_ssl0接口必須加入安訪問：基>網(wǎng)絡(luò)管理>單播>靜態(tài)路由（配置靜態(tài)路由訪問：基>NAT（NAT，配置源第756創(chuàng)建SSL_VPN證用戶，驗(yàn)證通過后可SSL_VPN7可自定義設(shè)置SSL_VPN登陸參數(shù)，并使能訪問：業(yè)>VPN>SSLVPN訪問：業(yè)>VPN>SSLVPN說明1、下發(fā)資源配臵（IP資源、Web資源、快捷方式、公告簡(jiǎn)訊）后，方可在資2、Web支持HTTP/HTTPS方式的URLIP址；快捷方式的Web式為具體鏈接，命令行方式為Windows的Dos命令；公告簡(jiǎn)訊顯示在VPN登陸成功頁面(6)訪問VPNSSLVPN用戶管理（用戶配置，配置說明：下發(fā)用戶組配臵后，方可在用戶信息中引用第76(7)訪問：業(yè)VPNSSLVPN基本配置（全局配置(7)訪問：業(yè)VPNSSLVPN基本配置（全局配置SSL功能驗(yàn)由于SSL_VPN設(shè)備部署在內(nèi)網(wǎng)，因此出口設(shè)備需配置目的出口設(shè)備目的NAT常見問第771客戶端接入SSL_VPN-常見問1客戶端接入SSL_VPN1NAT3、VPN設(shè)備上tunnel_ssl0接口是否加入-常見問1客戶端接入SSL_VPN1NAT3、VPN設(shè)備上tunnel_ssl0接口是否加入到安全域；4、VPN設(shè)備上源NAT的配置是否正確5、VP