Netscreen 50防火墙VPN配置方法
[size=3]Netscreen 50防火墙VPN配置方法为了正确地完成配置,请参照上图进行设备连接;
如图1 [attach]12121[/attach]
[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 22:04 编辑 [/i]] [size=3]二、VPN的配置:
1、定义VPN用户防问地址(请参照下图)
[attach]12122[/attach]
点击菜单中[b]Objccts>>Addresses>>List[/b],点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Addresses Name(名称):填写VPN_LAN;
B、IP/Netmask:填写172.16.0.0/16,所表示意思为VPN用户拔号进入后可防问内网中所有主机;
C、Zone:选择Trust;
D、点击OK按钮[/size];
[[i] 本帖最后由 garnett_wu 于 2006-12-6 16:59 编辑 [/i]] [size=3]2、定义用户组(请参照下图)
[attach]12123[/attach]
点击菜单中[b]Objccts>>User Groups>>Local[/b],点击右边的NEW按钮,出现上图所示内容;
修改图中红线部份:
A、Groups Name(名称):填写info_Group,注意定义名称时为了好区分采用了'部门名称_Group';
B、点击OK按钮。[/size] [size=3]3、为用户组定义用户(请参照下图)
[attach]12124[/attach]
点击菜单中[b]Objccts>>User>>Local[/b],点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、User Name(名称):填写info,注意定义名称时为了好区分采用了'部门名称';
B、User Group:填写刚才建立的组名info_group;
C、选择IKE User,Number of Multiple Logins with Same ID(在该组同时允许多少个用户登陆)可按
自己的实际需要填写数偷值;
D、选择Simple Identity,IKE ID Type选择AUTO,IKE Identity:填写info.ypff.net其中的info代表部门
名称;
E、点击OK按钮;[/size] [size=3]4、定义网关和预共享密钥(请参照下图)
[attach]12129[/attach]
点击菜单中[b]VPNs>>Autokey Advanced>>Gateway[/b],点击右边的NEW按钮,出现上图所示内容。
修改图中红线部份:
A、Gateway Name(名称):填写info_gw,注意定义名称时为了好区分采用了'部门名称_gw';
B、Secutity Level:选择Custom;
C、Remote Gateway Type选择Dialup User Group并选择刚才建立的info_group组;
D、Preshared Key:填写'shhg2003'(预共享密钥),[/size][size=3][color=#ff0000]由于WEB方式只允许用户输入一个预共享密钥,
因此在输入下一个时只能使用[/color][/size][size=3]CLI 方式;
[/size]
[size=3]
[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 17:03 编辑 [/i]] [size=3]
E、点击[b]Advanced[/b]按钮出现以下画面,修改划红线部份;[/size]
[size=3]如图 [attach]12130[/attach][/size]
[size=3]G、Secutity Level:选择Custom;
H、Phase 1 Proposal选择pre-g2-3des-sha加密;
[/size][size=3]I、Mode(Initiator)选择Aggressive模式;[/size]
[size=3]
[/size][size=3]J、选取Enable NAT-Traversal在Keepalive Frequency处填写5;[/size]
[size=3]
[/size][size=3]K、点击Ruten按钮返回,并点击OK按钮保存设置。[/size] [size=3][color=#ff0000]由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式[/color][/size][size=3]
如图:[attach]12131[/attach]
A、使用Telnet或超级终端进入防火墙;
B、上图中的info_gw代表网关名称,info为用户名称,shhg2003为预共享密钥;
C、键入Save保存;
[/size][size=3]D、使用WEB方式进行修改[/size] [size=3]5、Autokey IKE(请参照下图)
[attach]12132[/attach]
点击菜单中[b]VPNs>>Autokey IKE[/b],点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、VON Name(名称):info_vpn,注意定义名称时为了好区分采用了'部门名称_vpn';
B、Secutity Level:选择Custom;
C、Remote Gateway 选取Predefined并选择刚才建立的info_gw网关;
D、Outgoing Interface选择Ethernet3;[/size] [size=3]E、点击Advanced按钮出现以下画面,修改划红线部份;
如图[attach]12133[/attach]
F、Secutity Level:选择Custom;
G、Phase 2 Proposal 选选择nopfs-esp-3des-sha;
H、选取Replay Protection;
I、选取Tunnel Zone并选择Untrust-Turst;
J、选取 VPN Monitor;
K、点击Return返回,点击OK按钮保存。[/size] [size=3]6、定义策略
点击菜单中[b]Policies[/b],选择From:Untrust,To:Trust点击右边的NEW按钮,出现上图所示内容。
修改图中红线部份:
如图[attach]12134[/attach]
A、Name(名称):Info可任意输入;
B、Source Address:选中Address Book且选择Dial-UP VPN;
C、Destination Address:选中Address Book且选择刚才建立的地址VPN_LAN;
D、Service:可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页,选择ANY;
E、Action选择Tunnel;
F、Tunnel VPN选择建立的info_vpn。
[/size] [size=3]G、点击[b]Advanced[/b]按钮出现以下画面,修改划红线部份;
如图[attach]12135[/attach]
H、选取Logging和Counting打监控;
I、点击Return返回,点击OK按钮保存;[/size] [size=3]三、VPN客户端的配置
1、添加新的连接
如图[attach]12136[/attach]
A、点击左上方的Add a new connection按钮;
B、键入一个名称;
[/size][size=3]C、右上方Connection Security选择Secure;[/size]
[size=3]
[/size]
[size=3]D、ID选择IP Subnet;[/size]
[size=3]
[/size][size=3]E、Subnet:172.16.0.0[/size]
[size=3]
[/size][size=3]F、Mask:255.255.0.0[/size]
[size=3]
[/size]
[size=3]G、选取Connect using Secure Gateway Tunnel;[/size]
[size=3]
[/size][size=3]H、ID:选择IP Address 填写当时的广域网地址。[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 17:20 编辑 [/i]] [size=3]2、连接模式:
如图[attach]12137[/attach]
A、点击名称左边的+然后单击Security Policy图标;
B、选择右边的Aggressive Mode;[/size] [size=3]3、定义My Identity:
如图[attach]12138[/attach]
A、点击左边的My Identity图标;
B、Select选择None;
C、ID类型选择E-mail Address并填写yangying@info.ypff.net,其中的yangying为用户名称,管理员可
对其进行定义,@后的为组的IKE在上面我们定义过;
D、Virtual Adapter 选择Preferred;
E、Name选择ANY;
F、点击Pre-Shared-KEY出现下图所示对话框:[/size] [size=3]4、输入Shared-KEY
如图[attach]12139[/attach]
A、点击Enter Key;
B、键入Pre-Shared key的值;[/size] [size=3]C、获得用户的Pre-Shared key,管理员可通过telnet或超级终端进入防火墙,键入下图所示中的命令;
如图[attach]12142[/attach]
图中红线部份Info_gw为网关名称,yangying为用户名称,管理员可根具需要写入不同名称。
其中反白部份就是用户的Pre-Shared key,复制这些字符删除空格后写入到客户端软件中。[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 17:30 编辑 [/i]] [size=3]
5、Authentication(Phase 1)
如图[attach]12141[/attach]
A、单击位于“Security Policy”图标左边的加号“+”,然后单击“Authentication”(Phase 1) 左边的加号“+”,
点击图标Proposal 1;
B、Authentication Method:Pre-Shared Key(选择);
C、Encrypt Alg:Triple DES(选择);
D、Hash Alg: SHA-1(选择);
E、Key Group:Diffie-Hellman Group 2(选择);
[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 17:31 编辑 [/i]] [size=3]6、连接VPN通道:
如图
A、单击位于“Security Policy”图标左边的加号“+”,然后单击“Key Exchange”(Phase 2) 左边的加号“+”,
点击图标Proposal 1;
B、Encapsulation Protocol(选择);
C、Encrypt Alg:Triple DES(选择);
D、Hash Alg: SHA-1(选择);
E、Encapsulation: Tunnel(选择);
[/size] 四、VPN客户端的使用方法
1、新建拔号连接(请参照下图)仅以Windows2000为例:
A、右键点击桌面上的网上邻居图标,点击其属性;
如图[attach]12144[/attach]
B、在出现的页面中双击新建连接,选择“拔号到Internet”然后单击下一步;
如图[attach]12145[/attach]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 17:42 编辑 [/i]] [size=3]
C、选择“手动设置Internet 连接或通过局域网(LAN)连接”然后单击下一步;
如图[attach]12150[/attach]
D、选择“通过电话线和调制解调器连接”然后单击下一步;
如图[attach]12147[/attach]
[/size][size=3]
[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 17:59 编辑 [/i]] [size=3]E、选择“调制解调器的型号,这取决于你的计算机”然后单击下一步;
如图[attach]12151[/attach]
F、键入电话号码16300,然后单击下一步;
如图[attach]12152[/attach]
[/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 18:04 编辑 [/i]] [size=3]G、键入用户名和密码,然后单击下一步;
如图[attach]12153[/attach]
H、键入一个连接名称,然后单击下一步;
如图[attach]12154[/attach]
[/size] [size=3]I、选择“否”然后单击下一步;
[attach]12155[/attach]
J、单击完成按钮。以后只需要进行上述的第一步操作,找到建立好的拔号连接拔号便可。
[attach]12156[/attach]
[/size] [size=3]2、修改拔号连接的DNS(请参照下图)[/size][size=3][color=#ff0000]如果远程用户不需要防问物流系统,那该步骤可以省略。
[/color][/size][size=3]A、如上述方法打开网上邻居属性,找到刚才建立的“连接到16300”右键点击其属性;
[/size][size=3][color=Black][attach]12157[/attach][/color][/size]
[size=3]
B、在出现的属性对话框中选择“网络”然后选择“Internet协议(TCP/IP)”点击属性按钮;
[/size][size=3][attach]12158[/attach][/size]
[[i] 本帖最后由 garnett_wu 于 2006-12-6 18:10 编辑 [/i]] [size=3]C、在出现的Internet协议(TCP/IP)属性对话框中选择“使用下面的DNS服务器地址”然后填写图中的值
(根据实际情况填写);点击确定返回后在点击确定按钮保存设置。
进行此操作后你可能无法正常浏览公网网页,但可将上图中首选DNS服务器填写成:202.98.160.68,
用户可以根据需要进行设置。[/size]
[size=3]3、连接VPN通道
当客户端软件设置正确且拔号成功后客户端能够自动建立VPN连接;
[/size] [size=3]4、客户端的关闭与开启:
A、客户端的关闭,右键点击客户端软件图标,在弹出的菜单中点击Deactivate Security Policy;
当你的计算机工作在局域网中时请关闭客户端,否则将无法防问本地的局域网资源;
B、客户端被关闭后的图标;
C、客户端的开启,右键点击客户端软件图标,在弹出的菜单中点击Activate Security Policy;
当你要连接VPN时请开户客户端,否则将无法连通VPN;
D、客户端开启但没有连接VPN或连接不成功时的图标;
E、连接VPN成功后的客户端图标。
五、配置文件的应用:
1、配置文件的保存(请参照下图)
如图[attach]12160[/attach]
A、点击左边菜单[b]Configuration[/b]>>[b]Updata[/b]>>[b]Config File[/b],出现的界面中点击Save To File按钮,出现保存对话框单击保存。[/size][size=3][color=#ff0000]保存配置文件的用途:当进行固件版本升级时可用该文件恢复配置。[/color][/size] [size=3]2、配置文件的导入
A、点击左边菜单[b]Configuration[/b]>>[b]Updata[/b]>>[b]Config File[/b],
出现的界面中选择Replace Current Configuration,
然后单击浏览按钮找到上述方法中保存的配置文件后点击Apply按钮,
连继点击确定后恢复配置完成。[/size][size=3][color=#ff0000]
保存配置文件的导入:当进行固件版本升级后可快速恢复配置。[/color][/size][size=3]
[/size] 哇噻,真是好东西呀,收了,现在还没有接触到NS的设备,先学习,到时肯定用的上的,谢了
不用NS的客户端可以么?
如何做? 不错的文章图文并冒收下了谢谢分享回复 #29 yargoo 的帖子
以前我用过, 好象一定要使用NS客户端! 有NS-50 OS 5.0得吗 谢谢MAIL:ZQ9281@163.COM 学习支持~~~ 请问那个预共享密钥是自定义吗? 好内容,一定支持到顶。呵呵 :loveliness: 学习..嘿..好东西. 3Q! 头像的 MM挺不错啊........ [url]http://www.netexpert.cn/?fromuser=angelyd[/url] 正在找這個,,,非常謝....:loveliness: 嗯,挺不错的实用资料,谢谢楼主了,
页:
[1]