Juniper_netscreen__防火墙培训进阶篇重点.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 配置L2TP用户 设定用户名 分配给L2TP用户的地址 设定密码 * 配置L2TP Tunnel 选择Tunnel的接口 选择L2TP用户 * L2TP Tunnel策略的设置 Action选择Tunnel 选择L2TP Tunnel 源地址选择Dial-Up VPN（系统自定义） * Windows 客户端的配置 01 * Windows 客户端的配置 02 * Windows 客户端的配置 03 * Windows 客户端的配置 04 * Windows 客户端的配置 05 * Windows 客户端的配置 06 * Windows 客户端的配置 07 注意： 远程用户所在的内部网络不能与VPN Gateway内部网络相同的子网。 在Windows XP/2003创建一条L2TP vpn tunnel 在windows XP下面要修改注册表： 开始/运行/regedit.exe，找到下面这个路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters, 新增或修改ProhibitIpSec的值为1。 重启计算机。 * IPsec 软件客户端　　　访问总部A的ERP服务器 VPN Gateway设置 VPN 设置 VPN 安全策略 Netscreen Remote 客户端的设置 Dial-up User 设定部分 － 设定用户的IKE ID * 配置Dial-up用户 设置IKE ID 设定其它值会导致异常 客户端也须配置两者须一致 * 配置dialup VPN Gateway IKE Phase 1 选择dialup user，并在对应下拉菜单选择我们刚才设定的用户 设置共享密钥，客户端也须设置相同的值（最少8位） * 配置dialup VPN Gateway 高级选项 IKE Phase 1 注意dial-up VPN使用Aggressive模式 如果VPN连接中有NAT存在，请勾选此项，开启穿透功能；并做UDP Checksum检查 * 配置 dialup VPN IKE Phase 2 在下拉菜单选取前面定义的IKE Gateway * 配置dialup VPN 高级选项 IKE Phase 2 * 总部A VPN策略的设置 Action选择Tunnel 选择dialup VPN 源地址选择Dial-Up VPN（系统自定义） * Netscreen Remote远程客户端的配置 01 新建一个连接，取名后，点中它，出现右方基本配置界面。 在该选项中输入我们的目标地址，即安全网关后面的内部子网/主机的地址。 选中该选项，并在ID中选取IP Address，输入安全网关的外网口地址。 * Netscreen Remote远程客户端的配置 02 点击新建连接的加号键，点中My Identity进行设置 在Select中选择None；在Pre-Shared Key中输入与前面安全网关Gateway配置中一致的值。 在ID选项中选择E-mail Address，然后输入与前面安全网关Dial-up 用户配置中一致的值。 * Netscreen Remote远程客户端的配置 03 选中Security Policy进行设置。 在Select Phase 1 Negotiation Mode中选择Aggressive Mode。 根据前面在安全网关中IKE VPN中Phase 2 Proposal选择的不同，选择是否使用PFS。 * Netscreen Remote远程客户端的配置 04 选中Proposal 1,进行Phase 1的设置。 根据前面在安全网关中IKE Gateway中Phase 1Proposal的选择，选择一致的选项。 * Netscreen Remote远程客户端的配置 05 选中Proposal 2,进行Phase 2的设置。 根据前面在安全网关中IKE VPN中Phase 2Proposal的选择，选择一致的选项。 SSL VPN介绍 SSL VPN网关首先它是一种基于B/S架构的远程访问方式，作为一种新兴的VPN技术，与传统的IPSec VPN技术各具特色，各有千秋。 SSL VPN比较适合用于移动用户的远程接入(Client-Site)，而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。 SSL V