Netscreen 50防火墙VPN配置方法

为了正确地完成配置，请参照上图进行设备连接；

     如图1


[ 本帖最后由 garnett_wu 于 2006-12-6 22:04 编辑 ]

二、VPN的配置：

1、定义VPN用户防问地址（请参照下图）



点击菜单中Objccts>>Addresses>>List，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：

A、Addresses Name（名称）：填写VPN＿LAN；

B、IP/Netmask：填写172.16.0.0/16，所表示意思为VPN用户拔号进入后可防问内网中所有主机；

C、Zone：选择Trust；

D、点击OK按钮；

[ 本帖最后由 garnett_wu 于 2006-12-6 16:59 编辑 ]

2、定义用户组（请参照下图）



点击菜单中Objccts>>User Groups>>Local，点击右边的NEW按钮，出现上图所示内容；

修改图中红线部份：

A、Groups Name（名称）：填写info_Group，注意定义名称时为了好区分采用了'部门名称＿Group'；

B、点击OK按钮。

3、为用户组定义用户（请参照下图）

   
   
点击菜单中Objccts>>User>>Local，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：

A、User Name（名称）：填写info，注意定义名称时为了好区分采用了'部门名称'；

B、User Group：填写刚才建立的组名info_group；

C、选择IKE　User，Number of Multiple Logins with Same ID（在该组同时允许多少个用户登陆）可按

     自己的实际需要填写数偷值；

D、选择Simple Identity，IKE ID Type选择AUTO，IKE Identity：填写info.ypff.net其中的info代表部门

      名称；

E、点击OK按钮；

4、定义网关和预共享密钥（请参照下图）



点击菜单中VPNs>>Autokey Advanced>>Gateway，点击右边的NEW按钮，出现上图所示内容。

修改图中红线部份：

A、Gateway Name（名称）：填写info_gw，注意定义名称时为了好区分采用了'部门名称＿gw'；

B、Secutity Level：选择Custom；

C、Remote Gateway Type选择Dialup User Group并选择刚才建立的info_group组；

D、Preshared Key：填写'shhg2003'（预共享密钥），由于WEB方式只允许用户输入一个预共享密钥，

     因此在输入下一个时只能使用CLI 方式；






[ 本帖最后由 garnett_wu 于 2006-12-6 17:03 编辑 ]

E、点击Advanced按钮出现以下画面，修改划红线部份；

如图

G、Secutity Level：选择Custom；

H、Phase 1 Proposal选择pre-g2-3des-sha加密；

I、Mode(Initiator)选择Aggressive模式；

J、选取Enable NAT-Traversal在Keepalive Frequency处填写5；

K、点击Ruten按钮返回，并点击OK按钮保存设置。

由于WEB方式只允许用户输入一个预共享密钥，因此在输入下一个时只能使用CLI方式

如图：

A、使用Telnet或超级终端进入防火墙；

B、上图中的info_gw代表网关名称，info为用户名称，shhg2003为预共享密钥；

C、键入Save保存；

D、使用WEB方式进行修改

5、Autokey IKE（请参照下图）



点击菜单中VPNs>>Autokey IKE，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：

A、VON Name（名称）：info＿vpn，注意定义名称时为了好区分采用了'部门名称＿vpn'；

B、Secutity Level：选择Custom；

C、Remote Gateway 选取Predefined并选择刚才建立的info_gw网关；

D、Outgoing Interface选择Ethernet3；

E、点击Advanced按钮出现以下画面，修改划红线部份；

如图

F、Secutity Level：选择Custom；

G、Phase 2 Proposal 选选择nopfs-esp-3des-sha；

H、选取Replay Protection；

I、选取Tunnel Zone并选择Untrust-Turst；

J、选取 VPN Monitor；

K、点击Return返回，点击OK按钮保存。

6、定义策略

点击菜单中Policies，选择From：Untrust，To：Trust点击右边的NEW按钮，出现上图所示内容。

修改图中红线部份：

如图

A、Name（名称）：Info可任意输入；

B、Source Address：选中Address Book且选择Dial-UP VPN；

C、Destination Address：选中Address Book且选择刚才建立的地址VPN_LAN；

D、Service：可用来控制用户防问公网时的服务类型，如选择HTTP时用户只能浏览网页,选择ANY；

E、Action选择Tunnel；

F、Tunnel VPN选择建立的info_vpn。

G、点击Advanced按钮出现以下画面，修改划红线部份；

     如图

H、选取Logging和Counting打监控；

I、点击Return返回，点击OK按钮保存；

三、VPN客户端的配置

1、添加新的连接

   如图

A、点击左上方的Add a new connection按钮；

B、键入一个名称；

C、右上方Connection Security选择Secure；


D、ID选择IP　Subnet；

E、Subnet：172.16.0.0

F、Mask：255.255.0.0


G、选取Connect using Secure Gateway Tunnel；

H、ID：选择IP　Address 填写当时的广域网地址。

[ 本帖最后由 garnett_wu 于 2006-12-6 17:20 编辑 ]

2、连接模式：

     如图

A、点击名称左边的＋然后单击Security Policy图标；

B、选择右边的Aggressive Mode；

3、定义My Identity：

   如图

A、点击左边的My Identity图标；

B、Select选择None；

C、ID类型选择E-mail Address并填写yangying@info.ypff.net，其中的yangying为用户名称，管理员可

    对其进行定义，＠后的为组的IKE在上面我们定义过；

D、Virtual Adapter 选择Preferred；

E、Name选择ANY；

F、点击Pre-Shared-KEY出现下图所示对话框：

4、输入Shared-KEY

     如图

A、点击Enter Key；

B、键入Pre-Shared key的值；

C、获得用户的Pre-Shared key，管理员可通过telnet或超级终端进入防火墙，键入下图所示中的命令；

如图

图中红线部份Info_gw为网关名称，yangying为用户名称，管理员可根具需要写入不同名称。

其中反白部份就是用户的Pre-Shared key，复制这些字符删除空格后写入到客户端软件中。

[ 本帖最后由 garnett_wu 于 2006-12-6 17:30 编辑 ]

5、Authentication(Phase 1)

  如图

A、单击位于“Security Policy”图标左边的加号“+”，然后单击“Authentication”(Phase 1) 左边的加号“+”，

     点击图标Proposal 1；

B、Authentication Method：Pre-Shared Key（选择）；

C、Encrypt Alg：Triple DES（选择）；

D、Hash Alg： SHA-1（选择）；

E、Key Group：Diffie-Hellman Group 2（选择）；


[ 本帖最后由 garnett_wu 于 2006-12-6 17:31 编辑 ]

6、连接VPN通道:


    如图

A、单击位于“Security Policy”图标左边的加号“+”，然后单击“Key Exchange”(Phase 2) 左边的加号“+”，

     点击图标Proposal 1；

B、Encapsulation Protocol（选择）；

C、Encrypt Alg：Triple DES（选择）；

D、Hash Alg： SHA-1（选择）；

E、Encapsulation: Tunnel（选择）；

四、VPN客户端的使用方法

1、新建拔号连接（请参照下图）仅以Windows2000为例：

A、右键点击桌面上的网上邻居图标，点击其属性；

      如图

B、在出现的页面中双击新建连接，选择“拔号到Internet”然后单击下一步；

     如图

[ 本帖最后由 garnett_wu 于 2006-12-6 17:42 编辑 ]

C、选择“手动设置Internet 连接或通过局域网（LAN）连接”然后单击下一步；

     如图

D、选择“通过电话线和调制解调器连接”然后单击下一步；

    如图




[ 本帖最后由 garnett_wu 于 2006-12-6 17:59 编辑 ]