网络运维|防火墙的IPSecVPN典型应用案例

网络运维|防火墙的IPSecVPN典型应用案例

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下防火墙点到多点的IPSecVPN应用实例，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

 配置点到多点场景下的IPSec

点到多点多用于一个总部与多个分支建立IPSec的场景。本节介绍如何使用Web界面完成点到多点场景下的IPSec隧道配置。

配置IPSec策略

在点到多点场景中，本端希望与多台VPN网关、客户端（便携计算机、手机、平板电脑等等设备）同时建立多条IPSec隧道，实现这些设备或所连私网的互联。这些设备的IP地址通常是不固定的，也没有可用的域名。

这种场景经常用于总部与出差员工之间建立VPN。它要求总部拥有固定的IP地址或域名，由出差员工发起访问。

要配置这种场景的IPSec策略，需要在配置前至少完成以下工作：

· 获取可能接入的设备类型。不同的设备类型将使用不同的协议。VPN网关使用IPSec协议，客户端通常使用L2TP over IPSec协议或者IKEv2协议。

· 总部网关的管理员与出差员工协商一段字符串作为密钥（预共享密钥方式）或者使用相同的证书认证体系（RSA签名方式、RSA数字信封方式或SM2数字信封方式）。

· 配置相应的用户组及其认证方式。移动终端接入时都要进行用户认证，以保证其合法性。在配置IPSec策略前需要提前创建好相应的用户组。

· 设定为对端分配的私网IP地址范围。这种场景下通常需要总部为接入的设备分配一个私网地址，以使其可以与总部内网内的网络设备正常通信。

1. 选择“VPN > IPSec > IPSec”。

2. 单击“新建”，建立一条IPSec策略。

3. 选择“场景”为“点到多点”。

4. 可选：配置IPSec策略的基本信息。

5. 根据实际需要接入的设备在“对端接入类型”中选择客户端类型。

· 分支网关：使用IPSec协议接入的VPN网关。

· L2TP over IPSec客户端：使用L2TP over IPSec协议接入的客户端。例如PC、iPhone/iPad、安卓设备等。

· IKE V2客户端：使用IKE v2协议接入的客户端。例如PC（Win7)、无线AP等。

6. 配置双方相互校验的校验参数。

为了保证IPSec隧道的安全性，必须防止非法客户端接入，因此需要通过一系列参数来对对端的合法性进行校验。同时为了通过对端的合法性校验，本端也需要提供一些相应的参数。

7. 可选：配置接入客户端的用户/用户组信息。

当“对端接入类型”勾选了“L2TP over IPSec客户端”或“IKE V2客户端”时会出现本配置项。只有这两种类型的接入客户端才可以进行用户认证。

如果用户组尚未创建好，可以从下拉列表中选择“新建用户组”按钮立即新建一个用户组。

如果需要向现有用户组中添加用户，可以单击“用户组”右侧的“配置”按钮对用户组进行修改。如下图所示：

在弹出的“新建用户组”或“修改用户组”对话框中，单击“本地用户列表”中的“新建”按钮，可以立即在该组中新建用户。

8. 配置待加密的数据流。

本场景中，系统会自动匹配需要加密的数据流，不需要配置“待加密的数据流”。

根据需要可以选择配置是否进行“反向路由注入”。开启“反向路由注入”后，设备将把到达对端保护的网段的路由自动引入到路由表，从而不用管理员手工配置路由。此功能一般在与多个分支对接的总部网关上配置。

输入注入路由的“优先级”，从而更灵活地应用路由管理策略。例如，如果设备上还有其它方式配置的到达相同目的地址的路由，可以为它们指定相同优先级来可实现负载分担，也可指定不同优先级来实现路由备份。

9. 可选：配置安全提议中高级参数。

· 通常如果需要支持的终端类型特别多，可以不在总部侧限定允许接入的安全提议参数。此时只需要勾选“安全提议”中“接受对端提议”即可保证总部与所有客户端之间正常建立隧道。勾选之后表示如果对端发起隧道建立请求，本端完全接受对端提议的算法参数，以保证隧道协商成功。此时的隧道安全性由对端配置决定，本端不需要配置高级参数。

· 如果总部对安全提议有特殊要求，则可以调整本端的对应参数以保证安全性。

取消勾选“安全提议”中“接受对端提议”，展开“高级”。

其中算法类参数所提供的多个选择，在列表中位置越高，代表其安全性越高。如果该参数支持多选，那么实际协商时将根据参数在列表中位置从高到低依次尝试，直至协商成功。

10. 单击“应用”，新配置的IPSec策略将出现在策略列表中。

查看当前配置支持接入的设备类型

由于在IPSec的协商过程中，双方参数的一致性非常重要，所以设备提供了“推荐对端配置”功能。此功能可以列出能够协商成功的对端配置，可以导出该配置发送给对端网关的管理员参考配置。

1. 在IPSec策略的“新建”和“修改”界面，点击位于界面右侧中间位置的“推荐对端配置”按钮，如下图所示。

2. 在界面右侧会展开显示推荐对端配置的简要信息。单击展开区域右上角的“导出”按钮，将详细配置介绍导出成网页文件保存至本地，如下图所示。

3. 将导出的网页文件发送给对端网管的管理员参考。

艾锑无限科技专业：IT外包、企业外包、北京IT外包、桌面运维、弱电工程、网站开发、wifi覆盖方案,网络外包,网络管理服务,网管外包,综合布线,服务器运维服务,中小企业it外包服务,服务器维保公司,硬件运维,网站运维服务

以上文章由北京艾锑无限科技发展有限公司整理