PnPVPN配置举例

本节提供一个PnPVPN配置实例。

某公司总部位于北京，在上海和广州设有办事处，三地均可成功接入Internet。由于业务需求，需要组建VPN网络，达到以下目的：

• 广州和上海办事处的员工通过VPN访问总部数据库；
• 公司员工（包括总部和两办事处三地）之间可以通过VPN共享资源。

通过配置PnPVPN可实现以上需求，并且简单实用。配置方式如下：

• 公司总部选用一台安全网关作为PnPVPN Server，采用本地认证方式；
• 上海和广州办事处各部署一台安全网关，作为PnPVPN Client，接入总部VPN网络。
• 通过策略和路由配置实现允许公司员工之间的资源共享。

组网图如下：

根据以上组网图，具体网络环境描述如下：

• 总部局域网网段为192.168.1.0/24，通过接口ethernet0/0接入网络，属于trust安全域；
• 总部服务器群网段为192.168.200.0/24，通过接口ethernet0/2接入网络，属于trust安全域；
• 总部安全网关通过接口ethernet0/1（IP地址为202.106.6.208）接入Internet，属于untrust安全域。
• 上海办事处设备接入Internet的接口IP地址为61.170.6.208，广州办事处设备接入Internet的IP地址为59.42.6.208。
• PnPVPN Server将分配192.168.2.0/24网段到上海办事处，192.168.3.0/24网段到广州办事处。

请按照以下步骤进行配置：

第一步：配置本地AAA服务器。

1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』，弹出<AAA服务器>对话框。
2. 点击AAA服务器列表左上方的『新建』下拉菜单并选择<本地服务器>，弹出<本地服务器配置>对话框。
3. 在<服务器名称>文本框输入“test”。
4. 点击『确定』按钮保存所做配置并返回<AAA服务器>对话框。点击关闭<AAA服务器>对话框。

第二步：为上海办事处配置网络参数。

1. 从工具栏的<对象用户>下拉菜单选择『本地用户』，弹出<本地用户>对话框。
2. 在<本地服务器>下拉菜单中选择“test”，然后点击对话框左上角的『新建』下拉菜单，选择<用户>，弹出<用户配置>对话框，在该对话框做以下配置：
   <基本配置>标签页：
   
   • 名称：shanghai
   • 密码：shanghaiuser
   • 重新输入密码：shanghaiuser
   • IKE标识：FQDN
   • IKE标识：shanghai
   <PnPVPN配置>标签页
   • DHCP起始地址：192.168.2.1
   • DHCP结束地址：192.168.2.100
   • DHCP网络掩码：255.255.255.0
   • DHCP网关：192.168.2.101
     
3. 点击『确定』按钮保存所做配置并返回<本地用户>对话框。
4. 从用户列表中选中“shanghai”，点击对话框左上方的『编辑』按钮，弹出<编辑用户>对话框。点击<PnPVPN配置>标签，进入<PnPVPN配置>标签页。
5. 点击<隧道路由>对应的『选择...』按钮，弹出<隧道路由配置>对话框。在该对话框为当前用户添加以下隧道路由：192.168.200.0/24、192.168.1.0/24和192.168.3.0/24。
6. 点击『确定』按钮保存所做修改并返回<编辑用户>对话框。在<编辑用户>对话框点击『确定』按钮返回<本地用户>对话框。

第三步：为广州办事处配置网络参数。

1. 在<本地服务器>下拉菜单中选择“test”，然后点击对话框左上角的『新建』下拉菜单，选择<用户>，弹出<用户配置>对话框，在该对话框做以下配置：
   <基本配置>标签页：
   
   • 名称：guangzhou
   • 密码：guangzhouuser
   • 重新输入密码：guangzhouuser
   • IKE标识：FQDN
   • IKE标识：guangzhou
   <PnPVPN配置>标签页
   • DHCP起始地址：192.168.3.1
   • DHCP结束地址：192.168.3.100
   • DHCP网络掩码：255.255.255.0
   • DHCP网关：192.168.3.101
2. 点击『确定』按钮保存所做配置并返回<本地用户>对话框。
3. 从用户列表中选中“guangzhou”，点击对话框左上方的『编辑』按钮，弹出<编辑用户>对话框。点击<PnPVPN配置>标签，进入<PnPVPN配置>标签页。
4. 点击<隧道路由>对应的『选择...』按钮，弹出<隧道路由配置>对话框。在该对话框为当前用户添加以下隧道路由：192.168.200.0/24、192.168.1.0/24和192.168.2.0/24。
5. 点击『确定』按钮保存所做修改并返回<编辑用户>对话框。在<编辑用户>对话框点击『确定』按钮返回<本地用户>对话框。点击关闭<本地用户>对话框。
   

第四步：配置PnPVPN Server。

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『P1提议』标签，进入P1提议标签页。
2. 点击P1提议列表左上方的『新建』按钮，弹出<阶段1提议配置>对话框。在该对话框做以下配置：
   • 提议名称：test1
   • 认证：pre-share
   • 验证算法：SHA-1
   • 加密算法：3DES
   • DH组：Group2
   • 生存时间：86400
3. 点击『确定』按钮保存所做配置并返回P1提议页面。
4. 点击『P2提议』标签，进入P2提议标签页。
5. 点击列表左上方的『新建』按钮，弹出<阶段2提议配置>对话框。在该对话框做以下配置：
   • 提议名称：test2
   • 协议：ESP
   • 验证算法1：SHA-1
   • 加密算法1：3DES
   • PFS组：No PFS
   • 生存时间：28800
6. 点击『确定』按钮保存所做配置并返回P2提议标签页。
7. 点击『VPN对端列表』标签，进入VPN对端标签页。
8. 点击列表左上方的『新建』按钮，弹出<VPN对端配置>对话框。在该对话框做以下配置：
   • 对端名称：test1
   • 接口：ethernet0/1
   • 模式：野蛮模式
   • 类型：用户组
   • AAA服务器：test
   • 提议1：test1
   • 预共享密钥：123456
9. 点击<生成用户密钥>部分的『生成...』按钮，弹出<生成用户密钥>对话框。具体配置信息如下：
   • 生成上海客户端密钥：输入用户ID“shanghai”和预共享密钥“123456”，点击『生成』按钮，生成的密钥（userkey: kyZAKmLWCc5Nz75fseDiM2r+4Vg=）将显示在<创建结果>文本框中。PnPVPN Client将使用该密钥作为密码进行登录认证。点击『关闭』按钮返回对端配置对话框。
   • 生成广州客户端密钥：输入用户ID“guangzhou”和预共享密钥“123456”，点击『生成』按钮，生成的密钥（userkey: SdqhY4+dPThTtpipW2hs2OMB5Ps=）将显示在<创建结果>文本框中。PnPVPN Client将使用该密钥作为密码进行登录认证。点击『关闭』按钮返回对端配置页面
10. 点击『确定』按钮保存所做配置并返回VPN对端标签页。
11. 点击『IPSec VPN』标签，进入IPSec VPN标签页。
12. 点击IKE VPN列表左上方的『新建』按钮，弹出<IKE VPN配置>对话框。在<步骤1：对端>部分，点击<对端名称>文本框后的『导入』按钮，在下拉菜单中选择“test1”。用户也可以直接在该页面新建对端（ISAKMP网关）。
13. 点击<步骤2：隧道>进行VPN隧道配置。具体配置信息如下：
    <基本配置>标签页
    • 名称：test
    • 模式：tunnel
    • p2提议：test2
    • 代理ID：自动
    <高级配置>标签页
    • DNS1：192.168.200.1
    • DNS2：192.168.200.11
    • WINS1：192.168.200.2
    • WINS2：192.168.200.12
14. 点击『确定』按钮保存所做配置并返回IPSec VPN标签页。

第五步：配置策略规则。

1. 点击“配置网络网络连接”，进入网络连接页面。
2. 点击安全域列表左上方的『新建』按钮，弹出<安全域配置>对话框。在该对话框做以下配置：
   • 安全域名称：VPN
   • 类型：三层安全域
3. 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
4. 点击接口列表左上方的『新建』下拉菜单，选择并点击<隧道接口>，弹出<接口配置>对话框。在该对话框做以下配置：
   • 名称：tunnel1
   • 绑定安全域：三层安全域
   • 安全域：VPN
   • 隧道类型：IPSec
   • VPN名称：test
5. 点击『确定』按钮保存所做配置并返回网络连接页面。
6. 点击“配置安全策略”，进入策略页面。
7. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
   • 源安全域：VPN
   • 源地址：Any
   • 目的安全域：trust
   • 目的地址：Any
   • 服务簿：Any
   • 行为：允许
8. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
9. 点击『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
   • 源安全域：trust
   • 源地址：Any
   • 目的安全域：VPN
   • 目的地址：Any
   • 服务簿：Any
   • 行为：允许
10. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
11. 点击『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
    • 源安全域：VPN
    • 源地址：Any
    • 目的安全域：VPN
    • 目的地址：Any
    • 服务簿：Any
    • 行为：允许
12. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第六步：配置路由。

1. 访问“配置网络路由”，进入目的路由页面。
2. 点击目的路由列表左上方的『新建』按钮，弹出<目的路由配置>对话框。在该对话框做以下配置：
   • 目的地：192.168.2.0
   • 子网掩码：255.255.255.0
   • 下一跳：接口
   • 接口：tunnel1
   • 网关：61.170.6.208
3. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。
4. 点击目的路由列表左上方的『新建』按钮，弹出<目的路由配置>对话框。在该对话框做以下配置：
   • 目的地：192.168.3.0
   • 子网掩码：255.255.255.0
   • 下一跳：接口
   • 接口：tunnel1
   • 网关：59.42.6.208
5. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。

第七步：配置客户端。

上海办事处

1. 登录设备WebUI，从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。
2. 从页面右侧辅助栏的<任务>区选择『PnPVPN客户端』链接，弹出<PnPVPN配置>对话框。在该对话框做以下配置：
   • 服务器地址：202.106.6.208
   • ID：shanghai
   • 密码：kyZAKmLWCc5Nz75fseDiM2r+4Vg=
   • 重新输入密码：kyZAKmLWCc5Nz75fseDiM2r+4Vg=
   • 自动保存：选中复选框
   • VPN出接口：ethernet0/0
   • VPN入接口：ethernet0/3
3. 点击『确定』按钮保存所做配置并发起链接。

广州办事处

1. 登录设备WebUI，从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。
2. 从页面右侧辅助栏的<任务>区选择『PnPVPN客户端』链接，弹出<PnPVPN配置>对话框。在该对话框做以下配置：
   • 服务器地址：202.106.6.208
   • 本地ID：guangzhou
   • 密码：SdqhY4+dPThTtpipW2hs2OMB5Ps=
   • 重新输入密码：SdqhY4+dPThTtpipW2hs2OMB5Ps=
   • 自动保存：选中复选框
   • VPN出接口：ethernet0/0
   • VPN入接口：ethernet0/3
3. 点击『确定』按钮保存所做配置并发起链接。