1-2及2-1网关配置介绍和维护.pptVIP

当两端都可以主动发起访问 如果两端都可以主动发起访问 两端是对等关系，都是发起方，也都是响应方 可以参考发起方配置步骤和内容，此时不能使用IPSec策略模板 IKE Proposal和IPSec Proposal配置还是一致 IKE peer配置 两端都需要指定对端地址remote-address x.x.x.x ACL配置 两端都需要配置ACL，互为镜像，如一端如下配置 另一端则配置 IPSec策略配置 两端都不能使用模板，必须使用策略包装IKE Peer、IPSec Proposal、ACL等，依然需要应用到接口 NAT配置依然需要修改 rule 0 permit ip source 55 destination 55 rule 0 permit ip source 55 destination 55 PC和网关运行L2TP Over IPSec * * Windows设置L2TP拨号（未完） PC导入注册表文件ProhibitIpSec.reg Windows的L2TP默认是带IPSec拨号，无法和网关兼容 导入后开始设置网络连接 Windows设置L2TP拨号（未完） Windows设置L2TP拨号（未完） Windows设置L2TP拨号（未完） Windows设置L2TP拨号（未完） Windows设置L2TP拨号（未完） Windows设置L2TP拨号（未完） Windows设置L2TP拨号（完成） 1-2及2-1配置与维护 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 VPN-L2TP VPN-SSL VPN VPN-IPSec 目录 无线VLAN1 ~0 有线VLAN2 ~00 有线VLAN3 ~0 E0/2~E0/7 E0/8~E0/9 ChinaNet-A780 和L2TP相同的应用场景，L2TP无加密功能，而SSL是经过加密的VPN，安全性更好。SSL VPN必须使用单独的网段，不能和任何现有网段冲突。 Internet SSL VPN SSL客户端 ~0 SSL隧道 WAN地址 VPN网关地址 SSL VPN配置原理 资源组0 资源a 资源b 资源组1 资源c 资源b 用户组0 用户a 用户b 用户组1 用户c 用户d 域ct10000 全WEB配置界面 域是SSL VPN功能集 域中包含若干用户组 类似于用户角色 每个用户组有若干用户 每个域有一管理员用户负责配置 域中包含若干资源组 每个资源组包含若干资源 通常使用IP资源更为便捷 使用IP资源需要划定VPN地址段 WEB资源 TCP资源 每个用户只能属于一个用户组 每个资源可以属于多个资源组 每个用户组可以享用若干资源组 一台设备支持若干个域 SSL VPN配置（未完） 配置SSL服务器策略，命名为chinanet 在策略中使用设备出厂配置的pki域navigator 调用服务策略chinanet后启动SSL VPN功能 配置好后打开SSL VPN管理页面 ssl server-policy chinanet pki-domain navigator ssl-vpn server-policy chinanet ssl-vpn enable SSL VPN配置（未完） SSL VPN配置（未完） SSL VPN配置（未完） SSL VPN配置（未完） 可以创建多个网络服务，如的TCP 可以创建多个IP资源，如VLAN2、VLAN1 SSL VPN配置（未完） SSL VPN配置（未完） 可以创建多个用户，如zhansan、lisi等 SSL VPN配置（未完） 可以创建多个用户组，如manager SSL VPN配置（完成） SSL VPN登录（未完） 首次登录VPN可能需要重新登录2次，并强制老用户下线 SSL VPN登录（未完） FTP登录（完成） 1-2及2-1配置与维护 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 VPN-L2TP PN-SSL VPN VPN-IPSec 目录 无线VLAN1 ~0 有线VLAN2 ~00 有线VLAN3 ~0 E0/2~E0/7 E0/8~E0/9 ChinaNet-A780 IPSec VPN适合在网关和网关之间建立隧道，方便。 Internet IPSec VPN VLAN1 ~0 IPSec隧道 WAN地址 IPSec 响应方 IPSec 发起方 IPSec配置步骤 响应方 配置IKE Peer，响应方可以不需要指定对端地址 配置IKE Proposal，要和发起方一致 一阶段验证、加密算法、生存时间、前向安全性等 IPSec Propo