防火墻作為LNS通過VPN接入的配置

2017-11-22 07:51:44

網(wǎng)絡(luò)安全和信息化 2017年4期

筆者單位配置了型號為F1020的H3C防火墻，作為連接互聯(lián)網(wǎng)的網(wǎng)關(guān)。為便于工作人員在外訪問單位網(wǎng)絡(luò)，在防火墻上設(shè)置L2TP方式的VPN接入功能。筆者查閱資料并經(jīng)多次嘗試，成功配置移動終端設(shè)備通過L2TPoIPSec方式遠程接入辦公網(wǎng)絡(luò)。下面將F1020的H3C防火墻（V7版本）配置步驟詳細說明如下。

圖1 VPN連接屬性和高級設(shè)置

L2TP配置步驟

1．配置VPN用戶為“vpnuser”，設(shè)置密碼為1234。需要注意的是用戶類型必須為Network，默認類型Manager不支持PPP服務(wù)。

loca luser vpnuser class network

password simple1234

service-type ppp

2．配置ISP域“vpnisp”，PPP 用戶采用本地認證方式，并指定該域為默認域。domain vpnisp authentication ppp local

domain default enable vpnisp

3．配置虛模板Virtual-Template1, PPP認證方式為CHAP,并指定PPP用戶分配地址池aaa。

4．配置VPN用戶的地址池aaa，并指定網(wǎng)關(guān)地址。

5．選擇創(chuàng)建LNS模式下的L2TP組1，并指定接收呼叫的虛擬模板接口為Virtual-Template1。同時，禁用隧道認證，并指定其名稱為LNS。

6．啟用L2TP。

配置IKE步驟

1．創(chuàng)建IKE安全提議，各類設(shè)備的加密算法和認證方式不同，可以分別建立多個不同安全提議。Andriod和IOS系統(tǒng)設(shè)備加密算法采用的是AES-CBC-256，認證算法是SHA1，DH算法采用群組2。Windows系統(tǒng)加密算法是3DES-CBC，認證算法是SHA1，DH算法采用群組2。

2．配置 IKE keychain，并設(shè)置預(yù)共享密鑰1234，因要設(shè)置成給移動終端使用，需要指定匹配任意地址。

3．配置IKE Profile，因為是移動終端使用，需要指定遠端地址“match remote”為任意地址。

配置IPSec步驟

1．創(chuàng)建IPSec安全提議，因為各類設(shè)備的采取加密算法和認證方式不同，可以分別建立多個不同安全提議。Andriod和IOS系統(tǒng)設(shè)備加密算法采用的是AESCBC-256，認證算法是 SHA1，安全協(xié)議采用傳輸模式。Windows系統(tǒng)加密算法是3DES-CBC，認證算法是SHA1，安全協(xié)議采用傳輸模式。

終端設(shè)備配置

1．Windows系統(tǒng)配置方法。以Windows 7為例，依次打開“控制面板”、“網(wǎng)絡(luò)共享中心”、“設(shè)置新的連接或網(wǎng)絡(luò)”、“連接到工作區(qū)”、“使用我的Internet連接VPN”選項，輸入“接口地址”和“目標(biāo)名稱”，輸入“用戶名”和“密碼”以及“仍然設(shè)置連接”。

在“網(wǎng)絡(luò)共享中心”頁面、“更改適配器設(shè)置”，修改剛建立VPN連接屬性。按如下內(nèi)容設(shè)置，打開“安全”頁面、“VPN類型”項，選擇“使用IPSec的第2層隧道協(xié)議（L2TP-IPSec）”，在“高級設(shè)置”中選擇“使用預(yù)共享的密鑰作身份認證”，輸入上文設(shè)置預(yù)共享密鑰1234。確定后返回到“安全”頁面，在“數(shù)據(jù)加密”選擇“可選加密（沒有加密也可以連接）”，在“允許使用這些協(xié)議”中選擇“質(zhì)詢握手身份證協(xié)議（CHAP）”和“Microsoft CHAP 版本2（MS-CHAP V2）”。

2．Andriod系統(tǒng)配置方法。以6.0系統(tǒng)為例，依次選擇“設(shè)置”、“連接”、“更多連接設(shè)置”、“VPN”以及“添加VPN”項。輸入“名稱”，選擇“類型”為“L2TP/IPSec PSK”，輸入“服務(wù)器地址”和“IPSec預(yù)分享密鑰”?！癓2TP密鑰”和“IPSec”保留空白（如下圖）?！氨４妗狈祷睾螅斎胗脩裘兔艽a，即可連接。

圖2 查看防火墻上的IKE SA連接信息

圖3 查看防火墻上的IPSec SA連接信息

3．IOS系統(tǒng)配置方法。以10.0系統(tǒng)為例，依次選擇“設(shè) 置”、“VPN”、“添加VPN設(shè)置”。

驗證配置

1．通過“display ike sa verbose”命令查看防火墻上的IKE SA連接信息（如圖2所示）。

2．“display ipsec sa”命令查看防火墻上的IPSec SA連接信息（如圖3所示）。