PnPVPN配置举例
本节提供一个PnPVPN配置实例。
某公司总部位于北京,在上海和广州设有办事处,三地均可成功接入Internet。由于业务需求,需要组建VPN网络,达到以下目的:
- 广州和上海办事处的员工通过VPN访问总部数据库;
- 公司员工(包括总部和两办事处三地)之间可以通过VPN共享资源。
通过配置PnPVPN可实现以上需求,并且简单实用。配置方式如下:
- 公司总部选用一台安全网关作为PnPVPN Server,采用本地认证方式;
- 上海和广州办事处各部署一台安全网关,作为PnPVPN Client,接入总部VPN网络。
- 通过策略和路由配置实现允许公司员工之间的资源共享。
组网图如下:

根据以上组网图,具体网络环境描述如下:
- 总部局域网网段为192.168.1.0/24,通过接口ethernet0/0接入网络,属于trust安全域;
- 总部服务器群网段为192.168.200.0/24,通过接口ethernet0/2接入网络,属于trust安全域;
- 总部安全网关通过接口ethernet0/1(IP地址为202.106.6.208)接入Internet,属于untrust安全域。
- 上海办事处设备接入Internet的接口IP地址为61.170.6.208,广州办事处设备接入Internet的IP地址为59.42.6.208。
- PnPVPN Server将分配192.168.2.0/24网段到上海办事处,192.168.3.0/24网段到广州办事处。
请按照以下步骤进行配置:
第一步:配置本地AAA服务器。
- 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
- 点击AAA服务器列表左上方的『新建』下拉菜单并选择<本地服务器>,弹出<本地服务器配置>对话框。
- 在<服务器名称>文本框输入“test”。
- 点击『确定』按钮保存所做配置并返回<AAA服务器>对话框。点击
关闭<AAA服务器>对话框。
第二步:为上海办事处配置网络参数。
- 从工具栏的<对象用户>下拉菜单选择『本地用户』,弹出<本地用户>对话框。
- 在<本地服务器>下拉菜单中选择“test”,然后点击对话框左上角的『新建』下拉菜单,选择<用户>,弹出<用户配置>对话框,在该对话框做以下配置:
<基本配置>标签页:
- 名称:shanghai
- 密码:shanghaiuser
- 重新输入密码:shanghaiuser
- IKE标识:FQDN
- IKE标识:shanghai
<PnPVPN配置>标签页
- DHCP起始地址:192.168.2.1
- DHCP结束地址:192.168.2.100
- DHCP网络掩码:255.255.255.0
- DHCP网关:192.168.2.101
- 点击『确定』按钮保存所做配置并返回<本地用户>对话框。
- 从用户列表中选中“shanghai”,点击对话框左上方的『编辑』按钮,弹出<编辑用户>对话框。点击<PnPVPN配置>标签,进入<PnPVPN配置>标签页。
- 点击<隧道路由>对应的『选择...』按钮,弹出<隧道路由配置>对话框。在该对话框为当前用户添加以下隧道路由:192.168.200.0/24、192.168.1.0/24和192.168.3.0/24。
- 点击『确定』按钮保存所做修改并返回<编辑用户>对话框。在<编辑用户>对话框点击『确定』按钮返回<本地用户>对话框。
第三步:为广州办事处配置网络参数。
- 在<本地服务器>下拉菜单中选择“test”,然后点击对话框左上角的『新建』下拉菜单,选择<用户>,弹出<用户配置>对话框,在该对话框做以下配置:
<基本配置>标签页:
- 名称:guangzhou
- 密码:guangzhouuser
- 重新输入密码:guangzhouuser
- IKE标识:FQDN
- IKE标识:guangzhou
<PnPVPN配置>标签页
- DHCP起始地址:192.168.3.1
- DHCP结束地址:192.168.3.100
- DHCP网络掩码:255.255.255.0
- DHCP网关:192.168.3.101
- 点击『确定』按钮保存所做配置并返回<本地用户>对话框。
- 从用户列表中选中“guangzhou”,点击对话框左上方的『编辑』按钮,弹出<编辑用户>对话框。点击<PnPVPN配置>标签,进入<PnPVPN配置>标签页。
- 点击<隧道路由>对应的『选择...』按钮,弹出<隧道路由配置>对话框。在该对话框为当前用户添加以下隧道路由:192.168.200.0/24、192.168.1.0/24和192.168.2.0/24。
- 点击『确定』按钮保存所做修改并返回<编辑用户>对话框。在<编辑用户>对话框点击『确定』按钮返回<本地用户>对话框。点击
关闭<本地用户>对话框。
第四步:配置PnPVPN Server。
- 从页面左侧导航树选择并点击“配置
网络
IPSec VPN”,进入IPSec VPN页面。点击『P1提议』标签,进入P1提议标签页。
- 点击P1提议列表左上方的『新建』按钮,弹出<阶段1提议配置>对话框。在该对话框做以下配置:
- 提议名称:test1
- 认证:pre-share
- 验证算法:SHA-1
- 加密算法:3DES
- DH组:Group2
- 生存时间:86400
- 点击『确定』按钮保存所做配置并返回P1提议页面。
- 点击『P2提议』标签,进入P2提议标签页。
- 点击列表左上方的『新建』按钮,弹出<阶段2提议配置>对话框。在该对话框做以下配置:
- 提议名称:test2
- 协议:ESP
- 验证算法1:SHA-1
- 加密算法1:3DES
- PFS组:No PFS
- 生存时间:28800
- 点击『确定』按钮保存所做配置并返回P2提议标签页。
- 点击『VPN对端列表』标签,进入VPN对端标签页。
- 点击列表左上方的『新建』按钮,弹出<VPN对端配置>对话框。在该对话框做以下配置:
- 对端名称:test1
- 接口:ethernet0/1
- 模式:野蛮模式
- 类型:用户组
- AAA服务器:test
- 提议1:test1
- 预共享密钥:123456
- 点击<生成用户密钥>部分的『生成...』按钮,弹出<生成用户密钥>对话框。具体配置信息如下:
- 生成上海客户端密钥:输入用户ID“shanghai”和预共享密钥“123456”,点击『生成』按钮,生成的密钥(userkey: kyZAKmLWCc5Nz75fseDiM2r+4Vg=)将显示在<创建结果>文本框中。PnPVPN Client将使用该密钥作为密码进行登录认证。点击『关闭』按钮返回对端配置对话框。
- 生成广州客户端密钥:输入用户ID“guangzhou”和预共享密钥“123456”,点击『生成』按钮,生成的密钥(userkey: SdqhY4+dPThTtpipW2hs2OMB5Ps=)将显示在<创建结果>文本框中。PnPVPN Client将使用该密钥作为密码进行登录认证。点击『关闭』按钮返回对端配置页面
- 点击『确定』按钮保存所做配置并返回VPN对端标签页。
- 点击『IPSec VPN』标签,进入IPSec VPN标签页。
- 点击IKE VPN列表左上方的『新建』按钮,弹出<IKE VPN配置>对话框。在<步骤1:对端>部分,点击<对端名称>文本框后的『导入』按钮,在下拉菜单中选择“test1”。用户也可以直接在该页面新建对端(ISAKMP网关)。
- 点击<步骤2:隧道>进行VPN隧道配置。具体配置信息如下:
<基本配置>标签页
- 名称:test
- 模式:tunnel
- p2提议:test2
- 代理ID:自动
<高级配置>标签页
- DNS1:192.168.200.1
- DNS2:192.168.200.11
- WINS1:192.168.200.2
- WINS2:192.168.200.12
- 点击『确定』按钮保存所做配置并返回IPSec VPN标签页。
第五步:配置策略规则。
- 点击“配置
网络
网络连接”,进入网络连接页面。
- 点击安全域列表左上方的『新建』按钮,弹出<安全域配置>对话框。在该对话框做以下配置:
- 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
- 点击接口列表左上方的『新建』下拉菜单,选择并点击<隧道接口>,弹出<接口配置>对话框。在该对话框做以下配置:
- 名称:tunnel1
- 绑定安全域:三层安全域
- 安全域:VPN
- 隧道类型:IPSec
- VPN名称:test
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 点击“配置
安全
策略”,进入策略页面。
- 点击策略列表左上方的『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:VPN
- 源地址:Any
- 目的安全域:trust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
- 点击『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:trust
- 源地址:Any
- 目的安全域:VPN
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
- 点击『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:VPN
- 源地址:Any
- 目的安全域:VPN
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
第六步:配置路由。
- 访问“配置
网络
路由”,进入目的路由页面。
- 点击目的路由列表左上方的『新建』按钮,弹出<目的路由配置>对话框。在该对话框做以下配置:
- 目的地:192.168.2.0
- 子网掩码:255.255.255.0
- 下一跳:接口
- 接口:tunnel1
- 网关:61.170.6.208
- 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。
- 点击目的路由列表左上方的『新建』按钮,弹出<目的路由配置>对话框。在该对话框做以下配置:
- 目的地:192.168.3.0
- 子网掩码:255.255.255.0
- 下一跳:接口
- 接口:tunnel1
- 网关:59.42.6.208
- 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。
第七步:配置客户端。
上海办事处
- 登录设备WebUI,从页面左侧导航树选择并点击“配置
网络
IPSec VPN”,进入IPSec VPN页面。
- 从页面右侧辅助栏的<任务>区选择『PnPVPN客户端』链接,弹出<PnPVPN配置>对话框。在该对话框做以下配置:
- 服务器地址:202.106.6.208
- ID:shanghai
- 密码:kyZAKmLWCc5Nz75fseDiM2r+4Vg=
- 重新输入密码:kyZAKmLWCc5Nz75fseDiM2r+4Vg=
- 自动保存:选中复选框
- VPN出接口:ethernet0/0
- VPN入接口:ethernet0/3
- 点击『确定』按钮保存所做配置并发起链接。
广州办事处
- 登录设备WebUI,从页面左侧导航树选择并点击“配置
网络
IPSec VPN”,进入IPSec VPN页面。
- 从页面右侧辅助栏的<任务>区选择『PnPVPN客户端』链接,弹出<PnPVPN配置>对话框。在该对话框做以下配置:
- 服务器地址:202.106.6.208
- 本地ID:guangzhou
- 密码:SdqhY4+dPThTtpipW2hs2OMB5Ps=
- 重新输入密码:SdqhY4+dPThTtpipW2hs2OMB5Ps=
- 自动保存:选中复选框
- VPN出接口:ethernet0/0
- VPN入接口:ethernet0/3
- 点击『确定』按钮保存所做配置并发起链接。