51CTO下载-中小企业IPSECVPN部署与配置(policybasedIPSECVPN)精编.pptVIP

10.0.0.0/8 10.1.199.144/24 1.1.1.1/24 1.1.1.2/24 10.2.199.0/24 1.1.1.0/8 1.1.1.3/24 中心NS5XP 分支NS5XP 远端PC 中小企业IPSEC VPN部署与配置(policy based IPSEC VPN) 中心NS5XP上端口IP地址配置 中心NS5XP上路由配置 中心NS5XP建立分支ns5xp P1阶段协商参数 VPNs-AutoKey Advanced-Gateway-New Preshared Key和Security level与对端一致！ 中心NS5XP上建立分支ns5xp P1阶段协商参数 Advanced部分配置，建议启用NAT穿越测试和相应的UDP校验 中心NS5XP上建立分支ns5xp P2阶段协商参数 VPNs-AutoKey IKE-New Security Level和对端一致！ 中心NS5XP上建立分支ns5xp P2阶段协商参数 Advanced部分配置，建议启用抗重播攻击 中心NS5XP上建立分支ns5xp VPN策略 Action选Tunnel，Tunnel VPN选择刚才建立的VPN-static 中心NS5XP上建立远端拨入PC P1协商参数 可选：建立IP Pool 中心NS5XP上建立远端拨入PC P1协商参数 必选：建立IKE用户，使用简单标识 可选：Xauth用户 中心NS5XP上建立远端拨入PC P1协商参数 可选：建立拨号用户组 中心NS5XP上建立远端拨入PC P1协商参数 如果使用组则选择组名，否则指定用户或者对端ID，Security Level/Peer ID/用户名必须双方一致 中心NS5XP上建立远端拨入PC P1阶段协商参数 Advanced部分配置，建议启用NAT穿越测试和相应的UDP校验 中心NS5XP上建立远端拨入PC P2阶段协商参数 VPNs-AutoKey IKE-New 中心NS5XP上建立远端拨入PC P2阶段协商参数 Advanced部分配置，建议启用抗重播攻击 中心NS5XP上建立远端ns5xp VPN策略 Action选Tunnel，Tunnel VPN选择刚才建立的VPN-dialup 分支NS5XP配置和中心NS5XP步骤相同，区别在于 1）gateway中地址填写中心NS5XP Untrust口地址； 2）策略中源、目的地址刚好相反 远程PC上RemoteClient 配置 1)添加连接 远程PC上RemoteClient 配置 2)设置模式 模式设置为aggressive和中心NS5XP一致! 远程PC上RemoteClient 配置 3)中心NS5XP VPN网关描述(P1参数/P2参数) Remote party id必须和网关上的策略源、目的地址对应! 远程PC上RemoteClient 配置 3)本地标识 ID、Pre-shared Key必须网关上的用户信息、gateway一致!