网络学院安全认证培训VPN实验指导_VPN V1

H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第1页,共50页产品名称Productname密级ConfidentialitylevelSecPath产品版本ProductversionALLTotal59pages共59页网络学院安全培训VPN实验指导（VPNV1.0）拟制:巫继雨日期：2009-08-16审核:日期：审核:日期：批准:日期：杭州华三通信技术有限公司HangzhouH3CTechnologiesCo.,Ltd.版权所有侵权必究AllrightsreservedH3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第2页,共50页修订记录Revisionrecord日期修订版本修改描述作者2009-08-161.0完成初稿巫继雨H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第3页,共50页目录1VPN实验指导...................................................................................................................41.1H3CiNode客户端L2TPVPN实验指导............................................................................41.2H3CSecPathGREVPN实验指导...................................................................................101.3H3CSecPathIPSecVPN主模式实验指导.......................................................................161.4H3CSecPathIPSecVPN野蛮模式NAT穿越实验指导....................................................231.5H3CiNode客户端L2TPoverIPSecVPN实验指导.........................................................291.6H3CSecPathSSLVPN实验指导....................................................................................36H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第4页,共50页1VPN实验指导1.1H3CiNode客户端L2TPVPN实验指导1、组网需求：Internet上的移动办公用户安装iNode智能客户端，通过和公司出口VPN网关建立L2TP隧道方式，访问公司内部资源。2、组网图：安装iNode客户端的PC机地址为202.0.0.2/24，SecPathF1000-A作为LNS，其外网口地址为202.0.0.1/24，内网地址为192.168.0.1，内网有服务器192.168.0.2/24。客户端拨入LNS后，访问内部服务器。3、配置步骤：3.1防火墙配置：[LNS]discu#sysnameLNS#l2tpenable//使能L2TP#firewallpacket-filterenablefirewallpacket-filterdefaultpermit//包过滤缺省规则为permit#insulate#undoconnection-limitenableconnection-limitdefaultdenyconnection-limitdefaultamountupper-limit50lower-limit20#eth1/0:202.0.0.1/24eth0/0:192.168.0.1/2server:192.168.0.2/2iNode202.0.0.2/24H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第5页,共50页firewallstatisticsystemenable#radiusschemesystem#domainsystem//配置给客户分配的私网地址段ippool11.1.1.21.1.1.255#local-usertest//配置本地用户passwordsimpletestlevel3service-typeppp#aclnumber3000//NAT转换用的ACLrule0permitipsource192.168.0.00.0.0.255#interfaceVirtual-Template1//配置虚模板pppauthentication-modechap//配置认证方式为CHAPipaddress1.1.1.1255.255.255.0//虚模板的IP地址remoteaddresspool1//指定给客户端分配地址为上面配置的地址段#interfaceAux0asyncmodeflow#interfaceEthernet0/0//内网口地址ipaddress192.168.0.1255.255.255.0#interfaceEthernet0/1#interfaceEthernet0/2#interfaceEthernet0/3#interfaceEthernet1/0//外网口地址，做NAT转换使内部用户能访问internetipaddress202.0.0.1255.255.255.0natoutbound3000#H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第6页,共50页interfaceEthernet1/1#interfaceEthernet1/2#interfaceNULL0#firewallzonelocalsetpriority100#firewallzonetrust//内网接口加入trust区域addinterfaceEthernet0/0setpriority85#firewallzoneuntrust//外网接口和虚模板接入untrust区域addinterfaceEthernet1/0addinterfaceVirtual-Template1setpriority5#firewallzoneDMZsetpriority50#firewallinterzonelocaltrust#firewallinterzonelocaluntrust#firewallinterzonelocalDMZ#firewallinterzonetrustuntrust#firewallinterzonetrustDMZ#firewallinterzoneDMZuntrust#l2tp-group1//创建L2TP组undotunnelauthentication//系统缺省使能隧道认证，这里手动取消认证allowl2tpvirtual-template1//引用虚模板1#H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第7页,共50页iproute-static0.0.0.00.0.0.0202.0.0.2preference60//指定外网的网关为202.0.0.2#user-interfacecon0user-interfaceaux0user-interfacevty04#return[LNS]3.2iNode客户端配置：设置LNS的IP地址，用户名、密码：点击“高级”设置认证方式，不使能隧道认证：H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第8页,共50页4、验证过程：点击“连接”：连接成功：H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第9页,共50页获得私网IP地址，可以访问服务器192.168.0.2开放的任何服务。H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第10页,共50页1.2H3CSecPathGREVPN实验指导1、组网需求：某公司杭州和北京各有一个公网出口VPN网关，两网关之间通过建立GRE隧道，实现两机构私网互访。2、组网图：VPNA公网地址为202.0.0.1/24，私网网段为192.168.0.1/24；VPNB公网地址为202.0.0.2/24，私网网段为192.168.1.0/24，VPNA和VPNB之间建立GREVPN隧道，实现两个机构的私网互通。3、典型配置1）VPNA的配置：[VPNA]discu#sysnameVPNA#firewallpacket-filterenablefirewallpacket-filterdefaultpermit//包过滤缺省规则设置为permit#insulate#undoconnection-limitenableconnection-limitdefaultdenyconnection-limitdefaultamountupper-limit50lower-limit20#firewallstatisticsystemenable#radiusschemesystem#eth1/0:202.0.0.1/24eth1/0:202.0.0.2/2internet192.168.0.0/24VPNAVPNB192.168.1.0/24H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第11页,共50页domainsystem#interfaceAux0asyncmodeflow#interfaceEthernet0/0//内网口ipaddress192.168.0.1255.255.255.0#interfaceEthernet0/1#interfaceEthernet0/2#interfaceEthernet0/3#interfaceEthernet1/0//外网口ipaddress202.0.0.1255.255.255.0#interfaceEthernet1/1#interfaceEthernet1/2#interfaceTunnel1//GRE隧道接口ipaddress1.1.1.1255.255.255.0source202.0.0.1//隧道的起点为公网口destination202.0.0.2//隧道的终点为对端公网口#interfaceNULL0#firewallzonelocalsetpriority100#firewallzonetrust//内网口加入trust区域addinterfaceEthernet0/0setpriority85#firewallzoneuntrust//外网口和隧道接口加入untrust区域addinterfaceEthernet1/0H3CSE-Security安全认证实验指导（FW/VPNV1.00）内部公开2008-11-28第12页,共50页addinterfaceTunnel1setpriority5#firewallzoneDMZsetpriority50#firewallinterzonelocaltrust#firewallinterzonelocaluntrust#firewallinterzonelocalDMZ#firewallinterzonetrustuntrust#firewallinterzonetrustDMZ#firewallinte