2008-1013日

hillstone SA 拨号VPN实例

分类: Hillstone作者: 刘苏平

组网需求

两个拨号端设备(User1 和User2)与中心设备(2.2.2.1/24)组成拨号VPN,实现与拨号端设备相连的PC(PC1 和PC2)能够安全访问被中心设备保护的服务器(Server1)资源。组网图参见下图

中心设备配置

第一步:接口配置:
hostname(config)# zone vpnzone
hostname(config-zone-vpnzone)# exit
hostname(config)# interface ethernet0/0
hostname(config-if-eth0/0)# zone vpnzone
hostname(config-if-eth0/0)# ip address 2.2.2.1/24
hostname(config-if-eth0/0)# exit
hostname(config)# interface ethernet0/5
hostname(config-if-eth0/5)# zone trust
hostname(config-if-eth0/5)# ip address 192.168.1.1/24
hostname(config-if-eth0/5)# exit
hostname(config)#

第二步:配置拨号端用户帐号及预共享密钥信息:
hostname(config)# user user1 aaa-server local
hostname(config-username)# ike_id fqdn Hillstone1
hostname(config-username)# exit
hostname(config)# user user2 aaa-server local
hostname(config-username)# ike_id fqdn Hillstone2
hostname(config-username)# exit
hostname(config)# exit
hostname# exec generate-user-key rootkey 123456 userid Hillstone1
userkey: 3zPNDY6MmI8Wejk5fa3jhPU39p8=
hostname# exec generate-user-key rootkey 123456 userid Hillstone2 (生成密匙)
userkey: tAFW+48HcAr15+NcISm6TZJZzGU=
hostname# configure
hostname(config)#

第三步:配置IKE VPN:
hostname(config)# isakmp proposal p1
hostname(config-isakmp-proposal)# exit
hostname(config)# ipsec proposal p2
hostname(config-ipsec-proposal)# exit
hostname(config)# isakmp peer test
hostname(config-isakmp-peer)# aaa-server local
hostname(config-isakmp-peer)# interface ethernet0/0
hostname(config-isakmp-peer)# isakmp-proposal p1
hostname(config-isakmp-peer)# mode aggressive
hostname(config-isakmp-peer)# pre-share 123456
hostname(config-isakmp-peer)# type usergroup
hostname(config-isakmp-peer)# exit
hostname(config)# tunnel ipsec vpn auto
hostname(config-tunnel-ipsec-auto)# isakmp-peer test
hostname(config-tunnel-ipsec-auto)# id local 192.168.1.2/24 remote 0.0.0.0/0 service any
hostname(config-tunnel-ipsec-auto)# exit
hostname(config)#

第四步:配置策略:
hostname(config)# policy from trust to vpnzone
hostname(config-policy)# rule from any to any service any tunnel vpn
Rule id 5 is created
hostname(config-policy)# exit
hostname(config)# policy from vpnzone to trust
hostname(config-policy)# rule from any to any service any fromtunnel vpn
Rule id 6 is created
hostname(config-policy)# exit
hostname(config)#

拨号端1 配置

第一步:接口配置:
hostname(config)# interface ethernet0/1
hostname(config-if-eth0/0)# zone untrust
hostname(config-if-eth0/0)# ip address 3.3.3.2/24
hostname(config-if-eth0/0)# exit
hostname(config)# interface ethernet0/4
hostname(config-if-eth0/5)# zone trust
hostname(config-if-eth0/5)# ip address 192.168.2.1/24
hostname(config-if-eth0/5)# exit
hostname(config)#

第二步:配置IKE VPN:
hostname(config)# isakmp proposal p1
hostname(config-isakmp-proposal)# exit
hostname(config)# ipsec proposal p2
hostname(config-ipsec-proposal)# exit
hostname(config)# isakmp peer test
hostname(config-isakmp-peer)# interface ethernet0/1
hostname(config-isakmp-peer)# isakmp-proposal p1
hostname(config-isakmp-peer)# mode aggressive
hostname(config-isakmp-peer)# peer 2.2.2.1
hostname(config-isakmp-peer)# pre-share 3zPNDY6MmI8Wejk5fa3jhPU39p8=
hostname(config-isakmp-peer)# local-id fqdn Hillstone1
hostname(config-isakmp-peer)# exit
hostname(config)# tunnel ipsec vpn auto
hostname(config-tunnel-ipsec-auto)# isakmp-peer test
hostname(config-tunnel-ipsec-auto)# id local 192.168.2.2/24 remote 192.168.1.2/24 service any
hostname(config-tunnel-ipsec-auto)# exit
hostname(config)#

第三步:配置策略:
hostname(config)# policy from trust to untrust
hostname(config-policy)# rule from any to any service any tunnel vpn
Rule id 7 is created
hostname(config)# policy from untrust to trust
hostname(config-policy)# rule from any to any service any fromtunnel vpn
Rule id 8 is created
hostname(config-policy)# exit
hostname(config)#

拨号端2 配置

第一步:接口配置:
hostname(config)# interface ethernet0/1
hostname(config-if-eth0/0)# zone untrust
hostname(config-if-eth0/0)# ip address 4.4.4.2/24
hostname(config-if-eth0/0)# exit
hostname(config)# interface ethernet0/4
hostname(config-if-eth0/5)# zone trust
hostname(config-if-eth0/5)# ip address 192.168.3.1/24
hostname(config-if-eth0/5)# exit
hostname(config)#

第二步:配置IKE VPN:
hostname(config)# isakmp proposal p1
hostname(config-isakmp-proposal)# exit
hostname(config)# ipsec proposal p2
hostname(config-ipsec-proposal)# exit
hostname(config)# isakmp peer test
hostname(config-isakmp-peer)# interface ethernet0/1
hostname(config-isakmp-peer)# isakmp-proposal p1
hostname(config-isakmp-peer)# mode aggressive
hostname(config-isakmp-peer)# peer 2.2.2.1
hostname(config-isakmp-peer)# pre-share tAFW+48HcAr15+NcISm6TZJZzGU=
hostname(config-isakmp-peer)# local-id fqdn Hillstone2
hostname(config-isakmp-peer)# exit
hostname(config)# tunnel ipsec vpn auto
hostname(config-tunnel-ipsec-auto)# isakmp-peer test
hostname(config-tunnel-ipsec-auto)# id local 192.168.3.2/24
remote 192.168.1.2/24 service any
hostname(config-tunnel-ipsec-auto)# exit
hostname(config)#

第三步:配置策略:
hostname(config)# policy from trust to untrust
hostname(config-policy)# rule from any to any service any tunnel vpn
Rule id 7 is created
hostname(config)# policy from untrust to trust
hostname(config-policy)# rule from any to any service any fromtunnel vpn
Rule id 8 is created
hostname(config-policy)# exit
hostname(config)#

 

转载请注明:

本文转自:http://www.liusuping.com/hillstone/hillstone-bohao-vpn-shili.html

本文地址:http://www.liusuping.com/hillstone/hillstone-bohao-vpn-shili.html
本文位置:刘苏平的博客-Hillstone-hillstone SA 拨号VPN实例
Tags: Hillstone  拨号VPN  

相关文章:

  • 评论:(0)
  • 引用通告
发表评论点击这里获取该日志的TrackBack引用地址

http://www.liusuping.com/cmd.asp?act=tb&id=255&key=5deb2c6b
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。