安联防火墙 /VPN 网关软件 VPN 功能评估指南

1 北京天创安联科技有限公司北京天创安联科技有限公司 2002-2004 2002-2004 版权所有版权所有

北京天创安联科技有限公司北京天创安联科技有限公司

安联防火墙安联防火墙 /VPN/VPN 网关软件网关软件VPNVPN 功能评估指南功能评估指南

http://www.constic.comhttp://[email protected]@constic.com

20042004 年年 33 月月 66 日日

http://www.constic.com/

mailto:[email protected]

2 北京天创安联科技有限公司北京天创安联科技有限公司 20022002 年版权所有年版权所有

内容提要内容提要本文对安联防火墙本文对安联防火墙 /VPN/VPN 网关软件所实现的网关软件所实现的 IPSecVPNIPSecVPN 功能进行了全面介功能进行了全面介绍，并提供了大量的配置案例，为用户快速、准确评估如何建立绍，并提供了大量的配置案例，为用户快速、准确评估如何建立 VPNVPN 提供提供了明确指导；同时，本文也可以作为产品的使用教程，使用户能够迅速掌握了明确指导；同时，本文也可以作为产品的使用教程，使用户能够迅速掌握产品产品 IPSecVPNIPSecVPN 功能的使用、配置方法。功能的使用、配置方法。


目录目录启用启用 VPNVPN 功能功能建立建立 VPNVPN 的基本条件的基本条件隧道策略概要隧道策略概要配置隧道策略配置隧道策略认证用户授权认证用户授权 VPNVPN 的应用技巧的应用技巧 VPNVPN 监控与日志监控与日志

典型的典型的 VPNVPN 网络方案网络方案在已有防火墙的网络在已有防火墙的网络

中实现中实现 VPNVPN 通讯通讯通过中心通过中心 VPNVPN 服务器服务器

实现多个远程局域网实现多个远程局域网互联互联


启用启用 VPNVPN 功功能能准备工作准备工作启动启动 VPNVPN 功能功能 VPNVPN 功能菜单功能菜单


准备工作准备工作11 、在使用安联防火墙中的、在使用安联防火墙中的 VPNVPN 功能之前，请将系统中的功能之前，请将系统中的““ IPSec Policy Agent”IPSec Policy Agent” 服务停止并设为禁用状态服务停止并设为禁用状态22 、如已安装了第三方、如已安装了第三方 IPSecIPSec 程序，请将其卸载程序，请将其卸载

示例：在示例：在 Windows 2000 ServerWindows 2000 Server 上停止上停止 IPSecIPSec 服务。服务。在“管理工具”程序组中运行“服务”命令，打开“服务”窗口；在窗口在“管理工具”程序组中运行“服务”命令，打开“服务”窗口；在窗口中选择“中选择“ IPSec Policy Agent”IPSec Policy Agent” 服务，并将该服务停止并将启动属性改为“已服务，并将该服务停止并将启动属性改为“已禁用”。禁用”。


启用启用 VPNVPN 功能功能在防火墙管理程序中执行程序菜单命令在防火墙管理程序中执行程序菜单命令““ FileFile （文件）（文件）

PropertiesProperties （道具）（道具）””打开防火墙属性配置窗口打开防火墙属性配置窗口选择选择““ Firewall Server”Firewall Server” 页面，并选择页面，并选择““ IPSec VPN SuIPSec VPN Su

pport”pport” 功能模块功能模块点击点击““ OK”OK” 按钮按钮，系统将保存配置并重新启动，系统将保存配置并重新启动


VPNVPN 功能菜单功能菜单 VPNVPN 功能启用后，防火墙管理程序的主菜单中将显示相关的功能启用后，防火墙管理程序的主菜单中将显示相关的 VPNVPN 功能菜单功能菜单

隧道配置隧道配置用户管理用户管理快速配置导向快速配置导向更新配置更新配置

IPSecIPSec 用户监视器用户监视器IPSecIPSec 隧道监视器隧道监视器IPSecIPSec 服务日志服务日志IKEIKE 协商日志协商日志扩展认证日志扩展认证日志


建立建立 VPNVPN 的基本条的基本条件件最基本的最基本的VPNVPN网络结构网络结构何谓“可寻址”？何谓“可寻址”？


最基本的最基本的 VPNVPN 网络结网络结构构

Internet

VPN 网关 VPN 网关

Internet

VPN 主机VPN 网关

通过通过 VPNVPN 实现两个或多个内部网络之间的相互通讯实现两个或多个内部网络之间的相互通讯

通过通过 VPNVPN 实现远程主机与内部网络之间的相互通讯实现远程主机与内部网络之间的相互通讯

基本条件：基本条件：为每个局域网配置一个为每个局域网配置一个 VPNVPN 网关网关至少有一个至少有一个 VPNVPN 网关是网关是“可寻址”“可寻址”的的

基本条件：基本条件：为局域网配置一个为局域网配置一个 VPNVPN 网关网关在远程主机上安装在远程主机上安装 VPNVPN 终端软件终端软件 VPNVPN 网关是网关是“可寻址”“可寻址”的的


何谓“可寻址”？何谓“可寻址”？对于任何一台主机或网关，如果随时能够通过一个对于任何一台主机或网关，如果随时能够通过一个固定固定 IPIP 或或固定域名固定域名被被 InternetInternet上的其它主机访问到，那么它就是“可寻址”的；否则，它是不可寻址的。上的其它主机访问到，那么它就是“可寻址”的；否则，它是不可寻址的。对于对于“可寻址”“可寻址”的的 VPNVPN 网关网关 // 主机而言，在使用主机而言，在使用 NAT-TNAT-T 技术时，它必须保证其技术时，它必须保证其它它 VPNVPN 主机主机 // 网关能够访问到它的网关能够访问到它的 UDP 500UDP 500 和和 UDP 4500UDP 4500 端口。端口。可寻址可寻址 VPNVPN 网关需要具备的条件（满足以下条件之一既可）网关需要具备的条件（满足以下条件之一既可） VPNVPN 网关的外部接口网关的外部接口 IPIP 使用一个静态公共使用一个静态公共 IPIP VPNVPN 网关的外部接口网关的外部接口 IPIP 使用一个动态公共使用一个动态公共 IPIP ，但该动态，但该动态 IPIP 能够通过一个固定的域名进行实时解析能够通过一个固定的域名进行实时解析 VPNVPN 网关使用内部网关使用内部 IPIP ，并通过前置的防火墙接入，并通过前置的防火墙接入 InternetInternet ，前置防火墙具备静态公共，前置防火墙具备静态公共 IPIP ，且能够为，且能够为

VPNVPN 网关提供网关提供 UDP 500UDP 500 和和 UDP 4500UDP 4500 端口映射端口映射 VPNVPN 网关使用内部网关使用内部 IPIP ，并通过前置的防火墙接入，并通过前置的防火墙接入 InternetInternet ，前置防火墙使用动态公共，前置防火墙使用动态公共 IPIP 但有固定的但有固定的

域名，且能够为域名，且能够为 VPNVPN 网关提供网关提供 UDP 500UDP 500 和和 UDP 4500UDP 4500 端口映射端口映射


隧道策略概要隧道策略概要 IPSecVPNIPSecVPN功能模块的组成部分功能模块的组成部分隧道策略的基本配置项目隧道策略的基本配置项目隧道策略的类型隧道策略的类型


IPSecVPNIPSecVPN 功能模块的组成部分功能模块的组成部分

IPSecIPSec 引擎引擎

IKEIKE 服务程序服务程序

安全关联安全关联

隧道策略隧道策略用户根据用户根据 VPNVPN 通讯需求制定隧道策略。通讯需求制定隧道策略。

IKEIKE 服务根据隧道策略所规定的协商方法和身份验证条件服务根据隧道策略所规定的协商方法和身份验证条件与远端与远端 VPNVPN 主机主机 // 网关进行协商，并建立实时安全关联。网关进行协商，并建立实时安全关联。安全关联规定了对哪些数据包需要进行安全关联规定了对哪些数据包需要进行 IPSecIPSec 处理以及在处理以及在进行进行 IPSecIPSec 处理时使用何种算法。处理时使用何种算法。IPSecIPSec 引擎对所有的数据包进行检查，并对符合安全关联引擎对所有的数据包进行检查，并对符合安全关联所规定的条件的数据包进行所规定的条件的数据包进行 IPSecIPSec 处理。处理。

IPSec 模块需要根据用户配置的隧道策略进行 IKE 协商并对符合条件的数据包进行 IPSec处理，所以配置合理的隧道策略是实现 VPN 通讯的关键。

IPSec VPNIPSec VPN 功能模块的组成功能模块的组成


隧道策略的基本配置项目隧道策略的基本配置项目配置项目配置项目配置目的配置目的

本地本地 VPNVPN 主机主机 // 网关地址网关地址指明本地指明本地 VPNVPN 主机主机 // 网关的地址网关的地址远程远程 VPNVPN 主机主机 // 网关地址网关地址告诉告诉 IKEIKE 服务应该将协商数据包发送到哪里服务应该将协商数据包发送到哪里本地网络地址本地网络地址告诉告诉 IPSecIPSec 引擎需要对哪些数据包需要进行处理；即引擎需要对哪些数据包需要进行处理；即数据包的源数据包的源 IPIP 和目标和目标 IPIP 应该符合的地址范围应该符合的地址范围远程网络地址远程网络地址 IPSecIPSec 处理方案处理方案规定了规定了 IPSecIPSec 处理所使用的协议和加密算法处理所使用的协议和加密算法身份验证方案身份验证方案 IKEIKE 协商时所使用的身份验证方案协商时所使用的身份验证方案


隧道策略的类型隧道策略的类型静态隧道策略静态隧道策略

动态隧道策略——隧道策略模板动态隧道策略——隧道策略模板

指定了远程指定了远程 VPNVPN 网关网关 // 主机地址的隧道策略称为静态隧道策略。显然，根据静态隧道策略，主机地址的隧道策略称为静态隧道策略。显然，根据静态隧道策略， IKEIKE服务可以主动向远程服务可以主动向远程 VPNVPN 网关网关 // 主机发起主机发起 IKEIKE 协商。静态隧道策略主要应用于以下场合：协商。静态隧道策略主要应用于以下场合：• 如果如果 VPNVPN 隧道两端中都是可寻址的，那么至少一端必须配置静态隧道策略。隧道两端中都是可寻址的，那么至少一端必须配置静态隧道策略。• 如果如果 VPNVPN 隧道两端中只有一端是可寻址的，那么在不可寻址的一端必须配置静态隧道策略。隧道两端中只有一端是可寻址的，那么在不可寻址的一端必须配置静态隧道策略。

未指定远程未指定远程 VPNVPN 网关网关 // 主机地址的隧道策略称为动态隧道策略。显然，按照动态隧道策略，主机地址的隧道策略称为动态隧道策略。显然，按照动态隧道策略， IKEIKE服务将无法主动向远程服务将无法主动向远程 VPNVPN 网关网关 // 主机发起主机发起 IKEIKE 协商，而只能被动接受对方的协商，而只能被动接受对方的 IKEIKE 协商请求。协商请求。动态隧道策略主要应用于以下场合动态隧道策略主要应用于以下场合 ::• 如果如果 VPNVPN 隧道两端中都是可寻址的，那么有一端可以配置动态隧道策略。隧道两端中都是可寻址的，那么有一端可以配置动态隧道策略。• 如果如果 VPNVPN 隧道两端中只有一端时可寻址的，那么在可寻址的一端必须配置动态隧道策略。隧道两端中只有一端时可寻址的，那么在可寻址的一端必须配置动态隧道策略。

在一个 VPN 网关 / 主机上只能配置一个动态隧道策略，该隧道策略应当能够为所有需要接入本地网络的远程不可寻址 VPN 网关 / 主机提供 IKE 协商服务 .


配置隧道策略配置隧道策略隧道配置窗口隧道配置窗口新建隧道策略新建隧道策略配置本地端点的属性配置本地端点的属性配置远程端点的属性配置远程端点的属性如何配置动态隧道策略中的远程端点属性如何配置动态隧道策略中的远程端点属性配置配置VPNVPN策略策略配置配置VPNVPN策略（高级设置）策略（高级设置）配置认证模式配置认证模式更新隧道策略更新隧道策略


隧道配置窗口隧道配置窗口通过系统菜单中的命令通过系统菜单中的命令““ IPSecIPSec->->Tunnel Workshop”Tunnel Workshop” 打开隧道配置窗口打开隧道配置窗口

左栏列出了已建立的隧道策左栏列出了已建立的隧道策略。带红色略。带红色 XX 标记的隧道策标记的隧道策略为失效状态。略为失效状态。

右栏为隧道策略的右栏为隧道策略的属性配置页面属性配置页面


新建隧道策略新建隧道策略在左栏任意位置点击鼠标右键，并在弹出菜单中执行“在左栏任意位置点击鼠标右键，并在弹出菜单中执行“ Create New SA”Create New SA” 命令命令

输入隧道策略名称，只允许输入隧道策略名称，只允许使用使用 2626 个字母和减号及下划个字母和减号及下划线，不允许使用空格键线，不允许使用空格键

输入对隧道策略的描述信息，输入对隧道策略的描述信息，请不要使用中文请不要使用中文

点击“下一步”进入本地端点击“下一步”进入本地端点属性配置页面点属性配置页面


配置本地端点的属性配置本地端点的属性说明本地说明本地 VPNVPN 网关网关 // 主机主机的的 IPIP 。参数为：。参数为：- My_IPMy_IP- Road WarriorRoad Warrior

说明本地网络的地址。参说明本地网络的地址。参数为：数为：- No Local NetNo Local Net- 输入网络地址输入网络地址 //掩码掩码

My_IPMy_IP 是系统函数，代表了是系统函数，代表了 VPNVPN网关网关 // 主机的当前外部主机的当前外部 IPIPRoad WarriorRoad Warrior 指的是移动主机，指的是移动主机，如果本地端点是不可寻址的，应该如果本地端点是不可寻址的，应该使用此参数使用此参数

如果本地端点是独立的如果本地端点是独立的 VPNVPN 主机，主机，应该使用“应该使用“ No Local Net(No Local Net( 无本无本地网络）”地网络）”如果本地端点是如果本地端点是 VPNVPN 网关，则应网关，则应该输入需要与远程网络进行该输入需要与远程网络进行 VPNVPN通讯的本地内部网络地址通讯的本地内部网络地址

本地端点的高级配置选项，本地端点的高级配置选项，通常无需对这些选项进行通常无需对这些选项进行配置，更多信息请参考产配置，更多信息请参考产品使用手册品使用手册点击“下一步”继续配点击“下一步”继续配置隧道远程端点的属性置隧道远程端点的属性


配置远程端点的属性配置远程端点的属性说明远程说明远程 VPNVPN 网关网关 // 主机主机的的 IPIP 。参数为：。参数为：- Road WarriorRoad Warrior- 输入输入 IPIP 或域名或域名

说明远程网络的地址。参说明远程网络的地址。参数为：数为：- No Remote NetNo Remote Net- 输入网络地址输入网络地址 //掩码掩码

如果远程端点是不可寻址的（即：如果远程端点是不可寻址的（即：动态动态 VPNVPN 策略），必须使用参数策略），必须使用参数““ Road Warrior”Road Warrior”如果远程端点可通过固定的如果远程端点可通过固定的 IPIP 或或域名寻址（即：静态域名寻址（即：静态 VPNVPN 策略），策略），则需要输入其则需要输入其 IPIP 或域名或域名如果远程端点是独立的如果远程端点是独立的 VPNVPN 主机，主机，应该使用“应该使用“ No Remote Net(No Remote Net( 无无远程网络）”远程网络）”如果远程端点是如果远程端点是 VPNVPN 网关，则应网关，则应该输入需要与本地网络进行该输入需要与本地网络进行 VPNVPN通讯的在远程通讯的在远程 VPNVPN 网关后面的内网关后面的内部网络地址部网络地址

远程端点的高级配置选项，远程端点的高级配置选项，通常无需对这些选项进行通常无需对这些选项进行配置，更多信息请参考产配置，更多信息请参考产品使用手册品使用手册点击“下一步”继续配点击“下一步”继续配置置 VPNVPN 策略策略


如何配置动态隧道策略中的远程端点属性如何配置动态隧道策略中的远程端点属性如果一个如果一个 VPNVPN 网关网关 // 主机需要为多个不可寻址的远程端点提供接入服务，而且主机需要为多个不可寻址的远程端点提供接入服务，而且这些远程端点同时包含了独立主机和远程网络，那么，在配置动态隧道策略时这些远程端点同时包含了独立主机和远程网络，那么，在配置动态隧道策略时需要将远程端点的属性配置为：需要将远程端点的属性配置为：• Remote Gateway/Host —— Road WarriorRemote Gateway/Host —— Road Warrior （即：远程端点的地址是预先不可知的）（即：远程端点的地址是预先不可知的）• Remote Net —— 0.0.0.0Remote Net —— 0.0.0.0• Remote Mask —— 0.0.0.0Remote Mask —— 0.0.0.0

远程端点可以是任何地址，即包括了远程端点可以是任何地址，即包括了独立主机也包括了远程网络独立主机也包括了远程网络

Internet

VPN 网关

VPN 网关

VPN 终端移动用户通过拨移动用户通过拨号接入号接入 InternetInternet（不可寻址）（不可寻址）

企业分支机构通过企业分支机构通过ADSLADSL 接入接入 InternetInternet（不可寻址）（不可寻址）

企业总部通过专企业总部通过专线接入线接入 InternetInternet（可寻址）（可寻址）

为了保证 VPN 终端和分支机构都能够通过 VPN访问企业总部的局域网，在总部 VPN 网关上应该建立动态隧道策略；而在 VPN 终端上和分支机构的 VPN 网关上建立相应的静态隧道策略


配置配置 VPNVPN 策略策略IPSecIPSec封装模式，选封装模式，选项为：项为：- TunnelTunnel- TransportTransport

绝大多数情况下需要使用绝大多数情况下需要使用 TunnelTunnel模式建立模式建立 VPNVPN 隧道隧道

头部认证所使用的头部认证所使用的算法，选项为：算法，选项为：- NoNo- MD5MD5- SHASHA

通常无需要使用头部认证功能，即通常无需要使用头部认证功能，即选择“选择“ No”No”

数据加密所使用的数据加密所使用的算法，选项为：算法，选项为：- NoNo- YesYes- DesDes- 3Des3Des- AESAES- BlowfishBlowfish

在使用 ESP 方式对数据包进行 IPSec 处理时，同时包含了对数据包头的验证功能

建议选择建议选择 AESAES 算法，该算法的加算法，该算法的加密强度高且运算速度很快密强度高且运算速度很快选择“选择“ Yes”Yes” 表示算法可以在表示算法可以在 IKIKEE 协商时由对方指定。协商时由对方指定。

是否主动发起是否主动发起 IKEIKE协商。协商。

点击进入点击进入 VPNVPN 策略策略的高级配置窗口的高级配置窗口如果远程端点是可寻址的，可选择主动发起 IKE协商；如果远程端点是不可寻址的，则不能使用主动发起 IKE 协商功能


配置配置 VPNVPN 策略（高级设置）策略（高级设置）隧道更新周期，即在一隧道更新周期，即在一定时间后隧道的两个端定时间后隧道的两个端点重新进行点重新进行 IKEIKE 协商。协商。

通常情况下，无需改变缺省的更新周期。通常情况下，无需改变缺省的更新周期。但如果隧道两端之间有但如果隧道两端之间有 NATNAT 设备，建议设备，建议使用较短的更新周期。使用较短的更新周期。注意：注意： IPSecIPSec 的更新周期一定要比的更新周期一定要比 ISAKISAKMPMP 的更新周期长。的更新周期长。

配置是否使用配置是否使用 IPIP 压缩，压缩，可选择的参数为：可选择的参数为：- NoNo- YesYes- AutoAuto- DeflateDeflate （算法）（算法）- LZSLZS （算法）（算法）

在线路带宽足够的情况下（如：在线路带宽足够的情况下（如： ADSLADSL），），建议不使用建议不使用 IPIP压缩，即选择“压缩，即选择“ No”No” ，，此时使用此时使用 IPIP 压缩会加大压缩会加大 CPUCPU 的负荷，可的负荷，可能反而降低能反而降低 VPNVPN 通讯的吞吐量通讯的吞吐量使用使用 LZSLZS 算法需要购买额外的许可证算法需要购买额外的许可证

NAT-TNAT-T 技术，技术，可选择可选择的参数为：的参数为：- No- No- Auto- Auto

NAT-TNAT-T 技术保证了两个技术保证了两个 VPNVPN 端点可以透端点可以透过过 NATNAT 设备建立设备建立 VPNVPN 隧道。建议使用隧道。建议使用参数“参数“ Auto”Auto” ，即在，即在 IKEIKE 协商时自动协商时自动检测链路中是否存在检测链路中是否存在 NATNAT 设备设备野蛮模式野蛮模式 IKIKEE 协商，通协商，通常无需使用常无需使用

第三方兼容性选项，通第三方兼容性选项，通常无需使用常无需使用点击“下一步”继点击“下一步”继续配置认证方案续配置认证方案


配置认证模式配置认证模式输入共享密钥输入共享密钥共享密钥匙一种最简单的认证方式，采共享密钥匙一种最简单的认证方式，采用时，隧道两端都必须输入相同的密钥。用时，隧道两端都必须输入相同的密钥。

除了除了 RSARSA 认证以外，在使用其它认证方认证以外，在使用其它认证方式时都需要同时使用共享密钥认证式时都需要同时使用共享密钥认证

选择认证方式，可选择的参数包括：选择认证方式，可选择的参数包括：- Preshared SecretPreshared Secret （共享密钥）（共享密钥）- Client-IdKeyId Client-IdKeyId （（ IdKeyIdIdKeyId 认证的客户端）认证的客户端）- Client XauthClient Xauth （扩展认证的客户端）（扩展认证的客户端）- Server XauthServer Xauth （扩展认证的服务器端）（扩展认证的服务器端）- Rsa KeyRsa Key （（ RSARSA 认证）认证）- Client XauthV6Client XauthV6 （（ V6V6 标准扩展认证的客户端）标准扩展认证的客户端）- Server XauthV6Server XauthV6 （（ V6V6 标准扩展认证的服务器标准扩展认证的服务器端）端）

使用客户端扩展认使用客户端扩展认证时，需要输入认证时，需要输入认证用户名和密码证用户名和密码采用采用 RSARSA 认证时，需要进一步认证时，需要进一步配置公钥信息和身份鉴别信息。配置公钥信息和身份鉴别信息。关于关于 RSARSA 认证的更多信息，请认证的更多信息，请参考产品使用手册参考产品使用手册

在隧道策略配置完在隧道策略配置完成后，保存配置信成后，保存配置信息并关闭配置窗口息并关闭配置窗口

推荐用户采用扩展认证作为 VPN认证模式，该模式具备良好的安全性，同时配置非常简单。使用时，隧道一端应该作为扩展认证的服务器端，另一端作为扩展认证的客户端


更新隧道策略更新隧道策略隧道策略配置完成后，通过系统菜单中的命令隧道策略配置完成后，通过系统菜单中的命令““ IPSecIPSec->->Reload ConfiguratioReload Configuration”n” 使隧道策略生效使隧道策略生效。。

在隧道策略更新后， IKE 服务执行如下操作：— 如果本地端点配置了需要主动发起 IKE 协商的隧道策略，则 IKE 服务立即依据该隧道策略与远程端点进行协商并建立安全关联。— 如果本地端点配置了被动接受 IKE 协商请求的隧道策略，则 IKE 服务将一直等待远程端点发来的协商请求。


认证用户授权认证用户授权打开用户授权窗口打开用户授权窗口为用户创建认证帐户为用户创建认证帐户分配虚拟分配虚拟IPIP


打开用户授权窗口打开用户授权窗口如果隧道策略中使用了扩展认证方案如果隧道策略中使用了扩展认证方案，，在扩展认证的服务器端，管理员还需要对在扩展认证的服务器端，管理员还需要对认证用户进行授权。认证用户进行授权。通过系统菜单中的命令通过系统菜单中的命令““ IPSecIPSec->->User Administration”User Administration” 打开用户管理窗口。打开用户管理窗口。

右栏为用户帐右栏为用户帐号配置窗口号配置窗口左栏列出了已建立的用户帐左栏列出了已建立的用户帐号。带红色号。带红色 XX 标记的用户帐标记的用户帐号为失效状态。号为失效状态。


为用户创建认证帐户为用户创建认证帐户在左栏任意位置点击鼠标右键，并在弹出菜单中执行“在左栏任意位置点击鼠标右键，并在弹出菜单中执行“ Create New SA”Create New SA” 命令命令

输入用户名，只允许使用输入用户名，只允许使用 2626个字母和减号及下划线，不个字母和减号及下划线，不允许使用空格键允许使用空格键

输入对隧道策略的描述信息，输入对隧道策略的描述信息，请不要使用中文请不要使用中文

点击“下一步”可以为该用点击“下一步”可以为该用户分配虚拟户分配虚拟 IPIP

输入密码输入密码


分配虚拟分配虚拟 IPIP

输入虚拟输入虚拟 IPIP

为远程用户（尤其是不可寻址的移动终端）分配虚拟 IP 对于实现访问控制和简化路由管理有着重要作用。在使用虚拟 IP 时需要注意以下几点：1 ）虚拟 IP不能是公共 IP 地址2 ）虚拟 IP不能属于本地内部网段3 ）为远程 VPN 网关分配的虚拟 IP 应属于该网关所保护的内部网段

完成帐户管理工作后，必须保存配置。完成帐户管理工作后，必须保存配置。* 用户帐户在建立或修改后立即生效


VPNVPN 的应用技的应用技巧巧数据加密算法的选择数据加密算法的选择是否要使用是否要使用IPIP压缩压缩如何提高如何提高VPNVPN的通讯速率？的通讯速率？并非所有的网络程序都适用于并非所有的网络程序都适用于VPNVPN 虚拟内部虚拟内部IPIP功能的用途功能的用途选择合理的隧道更新周期选择合理的隧道更新周期


数据加密算法的选择数据加密算法的选择数据加密算法的选择直接影响到通讯的安全性和通讯速率，安联防火墙数据加密算法的选择直接影响到通讯的安全性和通讯速率，安联防火墙 /VPN/VPN网关支持以下几种配置方式：网关支持以下几种配置方式：

配置参数配置参数说明说明NoNo 不使用数据加密。没有安全性可言，但通讯速度最快不使用数据加密。没有安全性可言，但通讯速度最快YesYes 使用数据加密，算法由使用数据加密，算法由 IKEIKE 协商的另一方指定，如果另一方没有特殊说明使用那种算法，协商的另一方指定，如果另一方没有特殊说明使用那种算法，则采用则采用 3Des3Des 算法算法DESDES 一种加密强度不高的算法（一种加密强度不高的算法（ 5656 位密钥）。安全性不高，但通讯速度比较快。位密钥）。安全性不高，但通讯速度比较快。

3DES3DES 一种被广泛应用的加密算法，加密强度高（一种被广泛应用的加密算法，加密强度高（ 168168 位密钥），但通讯速度很慢。位密钥），但通讯速度很慢。AESAES 新的美国商业算法标准，加密强度高（新的美国商业算法标准，加密强度高（ 168168 位密钥），通讯速度较快。位密钥），通讯速度较快。

BlowfishBlowfish 新型算法标准，加密强度高（新型算法标准，加密强度高（ 168168位密钥），通讯速度较快，但尚未被普便使用。位密钥），通讯速度较快，但尚未被普便使用。通常情况下，建议用户在配置静态隧道策略时采用 AES 算法；而在配置动态隧道策略时将算法参数设为“ Yes”


是否要使用是否要使用 IPIP 压缩压缩利用利用 IPIP 压缩技术可以将数据包的长度减小，减少网络中数据的传输总量，提高压缩技术可以将数据包的长度减小，减少网络中数据的传输总量，提高网络吞吐量；但网络吞吐量；但 IPIP 压缩技术同时会占用较多的系统资源，这也会对压缩技术同时会占用较多的系统资源，这也会对 IPSecIPSec 处理处理效率造成负面影响，所以建议用户只有在通讯线路带宽很低的情况下（如：电话效率造成负面影响，所以建议用户只有在通讯线路带宽很低的情况下（如：电话拨号线路）才应该使用拨号线路）才应该使用 IPIP 压缩。压缩。


如何提高如何提高 VPNVPN 的通讯速率？的通讯速率？作为软件产品，安联防火墙作为软件产品，安联防火墙 /VPN/VPN 网关所能提供的网关所能提供的 VPNVPN 通讯速率与硬件平台的处通讯速率与硬件平台的处理能力息息相关。为了提高理能力息息相关。为了提高 VPNVPN 通讯速率，用户应该注意以下几点。通讯速率，用户应该注意以下几点。使用更快的使用更快的 CPUCPU 。。

– IPSecIPSec 处理主要消耗处理主要消耗 CPUCPU 资源，使用更快的资源，使用更快的 CPUCPU 将能够有效提高将能够有效提高 IPSecIPSec 处理能力处理能力– 超线程（超线程（ HTHT）技术对提高）技术对提高 IPSecIPSec 处理能力有重要作用处理能力有重要作用

不要在同一硬件平台上运行占用不要在同一硬件平台上运行占用 CPUCPU资源过大服务：资源过大服务：– 长期占用长期占用 20%20%以上以上 CUPCUP资源的服务资源的服务– 瞬时占用瞬时占用 80%80%以上以上 CUPCUP资源的服务资源的服务

在不同的硬件平台上，安联防火墙在不同的硬件平台上，安联防火墙 /VPN/VPN 网关能够提供网关能够提供 4Mbps4Mbps 到到 80Mbps80Mbps 的的 ESESPP 通讯吞吐能力，对于大多数企业而言，此处理能力都大于实际的通讯吞吐能力，对于大多数企业而言，此处理能力都大于实际的 InternetInternet 通讯通讯带宽，所以不会造成带宽，所以不会造成 VPNVPN 应用的瓶颈。应用的瓶颈。


并非所有的网络程序都适用于并非所有的网络程序都适用于 VPNVPN

根据我们的经验，有些基于局域网环境而设计的网络程序并不适用于根据我们的经验，有些基于局域网环境而设计的网络程序并不适用于 InternetInternet ，，也不适用于也不适用于 VPNVPN ，这主要是因为这些程序对网络延时要求很高，这主要是因为这些程序对网络延时要求很高 (<10ms)(<10ms) ，而广，而广域网不可能提供同等的通讯能力。域网不可能提供同等的通讯能力。如果需要在如果需要在 VPNVPN 中使用以下程序，建议用户首先测试其在中使用以下程序，建议用户首先测试其在 InternetInternet 中的使用效果，中的使用效果，如果在如果在 InternetInternet 中的使用效果很差，那么这些程序也不适用于中的使用效果很差，那么这些程序也不适用于 VPNVPN ：：基于基于 NetBiosNetBios 协议的网络应用程序协议的网络应用程序需要与服务器进行实时通讯的瘦客户端应用程序需要与服务器进行实时通讯的瘦客户端应用程序在运行时需要传输大量小数据包（小于在运行时需要传输大量小数据包（小于 100100字节的数据包称为小数据包）的应用程序字节的数据包称为小数据包）的应用程序


虚拟内部虚拟内部 IPIP 功能的用途功能的用途安联防火墙安联防火墙 /VPN/VPN 网关的防火墙规则同样可以适用于网关的防火墙规则同样可以适用于 VPNVPN 通讯。使用扩展通讯。使用扩展认证和虚拟内部认证和虚拟内部 IPIP 功能，管理员能够为接入功能，管理员能够为接入 VPNVPN 网关的所有移动用户分配网关的所有移动用户分配一个固定的一个固定的 IPIP ，并利用防火墙规则制定基于虚拟，并利用防火墙规则制定基于虚拟 IPIP 的访问规则，即实现了的访问规则，即实现了基于用户的访问控制。基于用户的访问控制。

实现用户的访问控制：实现用户的访问控制：

很多情况下，管理员需要配置特定的路由表以保证很多情况下，管理员需要配置特定的路由表以保证 VPNVPN 通讯能够实现（请通讯能够实现（请参考参考“VPN网关与防火墙平行放置”中的示例），但由于移动用户所使用的中的示例），但由于移动用户所使用的IPIP 是不可知的，也无法针对这些是不可知的，也无法针对这些 IPIP 配置路由表，所以需要使用虚拟配置路由表，所以需要使用虚拟 IPIP 功能，功能，为每个移动用户都分配一个固定的为每个移动用户都分配一个固定的 IPIP ，从而解决路由管理问题。，从而解决路由管理问题。

解决了路由管理问题：解决了路由管理问题：

虚拟内部虚拟内部 IPIP 功能是利用功能是利用 NATNAT技术实现的。技术实现的。 VPNVPN 通讯时，只能有一方使用虚拟通讯时，只能有一方使用虚拟 IPIP ，在通讯的另一方看来，，在通讯的另一方看来，数据包的源地址是虚拟数据包的源地址是虚拟 IPIP ，而不是访问发起方的真实的，而不是访问发起方的真实的 IPIP ，而应答数据包的目标地址也将是虚拟，而应答数据包的目标地址也将是虚拟 IPIP 。。


选择合理的隧道更新周期选择合理的隧道更新周期VPNVPN 通讯双方需要定期更新实时安全关联，这不但有利于通讯的安全性，同时也通讯双方需要定期更新实时安全关联，这不但有利于通讯的安全性，同时也能够保证隧道始终是畅通的。但隧道更新时，双方需要重新完成身份验证、参数协能够保证隧道始终是畅通的。但隧道更新时，双方需要重新完成身份验证、参数协商等工作，这在另一方面也造成了额外的系统处理和网络开销，合理选择更新周期商等工作，这在另一方面也造成了额外的系统处理和网络开销，合理选择更新周期对于优化对于优化 VPNVPN 通讯非常重要。对于以下场合，建议使用较短的隧道更新周期：通讯非常重要。对于以下场合，建议使用较短的隧道更新周期：在进行安全性要求较高的通讯业务时；在进行安全性要求较高的通讯业务时；如果如果 VPNVPN 通讯链路中有通讯链路中有 NATNAT 设备；（设备；（ NATNAT 设备可能随时改变映射地址和端口）设备可能随时改变映射地址和端口）

通常情况下，建议使用的隧道更新周期为：通常情况下，建议使用的隧道更新周期为：ISAKMP-Lifetime = 3600,ISAKMP-Lifetime = 3600,

IPSec-Lifetime = 28800,IPSec-Lifetime = 28800,

隧道更新周期最短不能小于以下时间：隧道更新周期最短不能小于以下时间：ISAKMP-Lifetime = 70,ISAKMP-Lifetime = 70,

IPSec-Lifetime = 80,IPSec-Lifetime = 80,


VPNVPN监控与日志监控与日志察看哪些内部主机在与远程主机进行察看哪些内部主机在与远程主机进行VPNVPN通讯通讯察看当前的察看当前的VPNVPN隧道状态隧道状态察看察看IPSecIPSec的工作日志的工作日志察看察看IKEIKE服务日志服务日志察看用户验证记录察看用户验证记录日志文件的存放位置日志文件的存放位置


察看哪些内部主机在与远程主机察看哪些内部主机在与远程主机进行进行 VPNVPN 通讯通讯内部主机的内部主机的 IPIP 已收发的数据量已收发的数据量开始时间开始时间空闲时间空闲时间


察看当前的察看当前的 VPNVPN 隧道状态隧道状态对于已建立的隧道，在隧道名称前以蓝灰色图标表示；对于未建立的隧道，在隧道名称前以红色图标表示。需要注意的是，如果本地主机含有动态隧道策略（策略模板），该策略将始终以红色图标表示；同时显示所有利用该模板建立的实时隧道（以蓝灰色图标表示）。


察看察看 IPSecIPSec 的工作日志的工作日志

IPSec 工作日志对 IPSec 网络接口、 IPSec 装载的隧道策略、实时安全关联等信息进行记录。


察看察看 IKEIKE 服务日志服务日志

IKE 服务日志记录了 IKE 的协商过程。在隧道无法建立时，通过此日志可以快速发现隧道配置或通讯线路中所存在的问题。


察看用户验证记录察看用户验证记录

在扩展认证的服务器端，可以通过此窗口看到用户的验证记录。


日志文件的存放位置日志文件的存放位置IPSecIPSec 功能的全部日志文件存放在软件安装目录下的功能的全部日志文件存放在软件安装目录下的 LogsLogs 子目录中，文件格子目录中，文件格式为文本文件。式为文本文件。

扩展认证日志记录扩展认证日志记录IPSecIPSec 的运行日志的运行日志IKEIKE 服务日志服务日志


典型的典型的 VPNVPN 网络方网络方案案客户需求及网络结构客户需求及网络结构确定确定 VPNVPN 通讯条件通讯条件在北京总部进行配置在北京总部进行配置在天津办事处进行配置在天津办事处进行配置配置上海终端配置上海终端


客户需求及客户需求及 VPNVPN 网络结构网络结构企业总部位于北京，在天津和上海各有一个办事处企业总部位于北京，在天津和上海各有一个办事处北京的局域网目前有北京的局域网目前有 2020台计算机，通过台计算机，通过 ADSLADSL 接入接入 InternetInternet 天津办事处有天津办事处有 55台计算机，通过小区宽带接入台计算机，通过小区宽带接入 InternetInternet 上海办事处只有一台计算机，通过上海办事处只有一台计算机，通过 ADSLADSL 接入接入 InternetInternet 企业希望办事处的员工都能接入到总部局域网内，并使用内部办公系统进行网络办公企业希望办事处的员工都能接入到总部局域网内，并使用内部办公系统进行网络办公

小区宽带接入网关安联防火墙VPN 网关

上海办事处终端安装 VPN 终端软件

安联防火墙VPN 网关

Internet

企业总部采用 ADSL 接入 Internet

天津办事处通过小区宽带接入 Intrent

根据企业各地的网络结构和根据企业各地的网络结构和 VPNVPN业务需求，我们首先确定对于北京、天津两个局域业务需求，我们首先确定对于北京、天津两个局域网，需要分别配置一个网，需要分别配置一个 VPNVPN 网关；对于上海办事处终端，需要安装网关；对于上海办事处终端，需要安装 VPNVPN终端软件。终端软件。


确定确定 VPNVPN 通讯条件通讯条件确定通讯隧道和寻址条件确定通讯隧道和寻址条件由于应用服务器运行在北京局域网内，所以我们必须提供两条由于应用服务器运行在北京局域网内，所以我们必须提供两条 VPNVPN 通讯隧道：天津通讯隧道：天津 <-><-> 北京、上海北京、上海 <-><-> 北京北京天津通过小区宽带接入天津通过小区宽带接入 InternetInternet ，肯定是不可寻址的，所以要求北京的，肯定是不可寻址的，所以要求北京的 VPNVPN 网关必须是可寻址的网关必须是可寻址的北京通过北京通过 ADSLADSL接入接入 InternetInternet ，有动态的公共，有动态的公共 IPIP ，为保证，为保证 VPNVPN 网关可寻址，必须使用网关可寻址，必须使用 DDNSDDNS （动态域名（动态域名

解析）服务（将动态解析）服务（将动态 IPIP 与一个固定的域名相互绑定）。与一个固定的域名相互绑定）。北京的北京的 VPNVPN 网关使用网关使用 DDNSDDNS 服务后，上海的服务后，上海的 VPNVPN 终端即可随时与北京建立终端即可随时与北京建立 VPNVPN 通讯通讯配置局域网网段配置局域网网段北京、天津都是局域网，在配置内部网段时必须彼此独立，否则在建立北京、天津都是局域网，在配置内部网段时必须彼此独立，否则在建立 VPNVPN 后，两个网络内的主机无法相互访问后，两个网络内的主机无法相互访问上海采用上海采用 ADSLADSL 接入接入 InternetInternet ，具有动态公共，具有动态公共 IPIP ，为了日后便于进行，为了日后便于进行 VPNVPN访问控制，所以将为该终端分配一个访问控制，所以将为该终端分配一个虚拟内部虚拟内部 IPIP

主机主机 // 网络网络地址规划地址规划北京局域网北京局域网 10.1.1.0/255.255.255.010.1.1.0/255.255.255.0天津局域网天津局域网 192.168.1.0/255.255.255.0192.168.1.0/255.255.255.0上海的终端上海的终端 192.168.2.2192.168.2.2 （虚拟（虚拟 IPIP ））


1.1. 在一台双网卡在一台双网卡Win2kWin2k服务器上安装安联防火墙服务器上安装安联防火墙 /VPN/VPN 网关软件，作为防火墙网关软件，作为防火墙 /VPN/VPN 网关网关2.2. 按照以下方案配置网络地址按照以下方案配置网络地址

3.3. 向向 DDNSDDNS 服务商申请服务商申请 DDNSDDNS 服务（假设申请的域名为服务（假设申请的域名为my.ddns.cn)my.ddns.cn)，并在，并在 VPNVPN 网关上安装网关上安装 DDNSDDNS客户端软件客户端软件4.4. 在防火墙在防火墙 /VPN/VPN 网关上启用网关上启用 PPPoEPPPoE 和和 IPSec VPNIPSec VPN 服务服务5.5. 配置配置 PPPoEPPPoE拨号属性拨号属性6.6. 按照以下方案配置隧道策略按照以下方案配置隧道策略（仅列出了最重要的配置参数，其它参数可使用缺省设置）（仅列出了最重要的配置参数，其它参数可使用缺省设置）

7.7. 为天津的为天津的 VPNVPN 网关和上海的网关和上海的 VPNVPN 终端配置验证帐户，同时为上海指定一个虚拟终端配置验证帐户，同时为上海指定一个虚拟 IPIP ：： 192.168.2.2192.168.2.2

在北京总部进行配置在北京总部进行配置防火墙防火墙 /VPN/VPN 网关外部网卡网关外部网卡自动获得自动获得 IP/IP/ 默认网关默认网关防火墙防火墙 /VPN/VPN 网关内部网卡网关内部网卡 IPIP ：： 10.1.1.110.1.1.1

内部终端内部终端 IPIP ：： 10.1.1.X10.1.1.X默认网关：默认网关： 10.1.1.110.1.1.1

Local Gateway/HostLocal Gateway/Host （本地网关（本地网关 // 主机）主机） My_IPMy_IP

Local Net/MaskLocal Net/Mask （（本地网络地址）本地网络地址） 10.1.1.0/255.255.255.010.1.1.0/255.255.255.0

Remote Gateway/HostRemote Gateway/Host （远程网关（远程网关 // 主机）主机） Road WarriorRoad Warrior （移动用户）（移动用户）Remote Net/MaskRemote Net/Mask （远程网络地址）（远程网络地址） 0.0.0.0/0.0.0.00.0.0.0/0.0.0.0

Initiate IKE negsInitiate IKE negs （主动发起（主动发起 IKEIKE 协商）协商）不使用不使用Preshared KeyPreshared Key （共享密钥）（共享密钥） 12341234

Authentication MethedAuthentication Methed （认证方式）（认证方式） Server-XauthServer-Xauth （扩展认证的服务器端）（扩展认证的服务器端）


1.1. 在一台双网卡在一台双网卡 Win2kWin2k 服务器上安装安联防火墙服务器上安装安联防火墙 /VPN/VPN 网关软件，作为防火墙网关软件，作为防火墙 /VPN/VPN 网关网关2.2. 按照以下方案配置网络地址按照以下方案配置网络地址

3.3. 在防火墙在防火墙 /VPN/VPN 网关上启用网关上启用 IPSec VPNIPSec VPN 服务服务4.4. 按照以下方案配置隧道策略按照以下方案配置隧道策略（仅列出了最重要的配置参数，其它参数可使用缺省设置）（仅列出了最重要的配置参数，其它参数可使用缺省设置）

在天津办事处进行配置在天津办事处进行配置防火墙防火墙 /VPN/VPN 网关外部网卡网关外部网卡小区宽带接入服务商指定的地址及网关小区宽带接入服务商指定的地址及网关防火墙防火墙 /VPN/VPN 网关内部网卡网关内部网卡 IPIP ：： 192.168.1.1192.168.1.1

内部终端内部终端 IPIP ：： 192.168.1.X192.168.1.X默认网关：默认网关： 192.168.1.1192.168.1.1

Local Gateway/HostLocal Gateway/Host （本地网关（本地网关 // 主机）主机） Road WarriorRoad Warrior （移动用户）（移动用户）Local Net/MaskLocal Net/Mask （（本地网络地址）本地网络地址） 192.168.1.0/255.255.255.0192.168.1.0/255.255.255.0

Remote Gateway/HostRemote Gateway/Host （远程网关（远程网关 // 主机）主机） my.ddns.cnmy.ddns.cn （北京（北京 VPNVPN 网关的域名）网关的域名）Remote Net/MaskRemote Net/Mask （远程网络地址）（远程网络地址） 10.1.1.0/255.255.255.010.1.1.0/255.255.255.0

Initiate IKE negsInitiate IKE negs （主动发起（主动发起 IKEIKE 协商）协商）是是Preshared KeyPreshared Key （共享密钥）（共享密钥） 12341234

Authentication MethedAuthentication Methed （认证方式）（认证方式） Client-XauthClient-Xauth （扩展认证的服务器端）（扩展认证的服务器端）User_IDUser_ID TijingTijing （北京（北京 VPNVPN 网关所指定认证用户名）网关所指定认证用户名）PasswordPassword ************** （北京（北京 VPNVPN 网关所指定认证密码）网关所指定认证密码）


1.1. 在终端上（在终端上（ Win2k/XPWin2k/XP操作系统）操作系统）安装安联防火墙安装安联防火墙 /VPN/VPN 网关软件，作为防火墙网关软件，作为防火墙 /VPN/VPN 网关网关3.3. 在防火墙在防火墙 /VPN/VPN 网关上启用网关上启用 PPPoEPPPoE 和和 IPSec VPNIPSec VPN 服务服务4.4. 配置配置 PPPoEPPPoE 拨号属性拨号属性5.5. 按照以下方案配置隧道策略按照以下方案配置隧道策略（仅列出了最重要的配置参数，其它参数可使用缺省设置）（仅列出了最重要的配置参数，其它参数可使用缺省设置）

配置上海终端配置上海终端

Local Gateway/HostLocal Gateway/Host （本地网关（本地网关 // 主机）主机） Road WarriorRoad Warrior （移动用户）（移动用户）Local Net/MaskLocal Net/Mask （（本地网络地址）本地网络地址） No Local NetNo Local Net （无本地网络）（无本地网络）Remote Gateway/HostRemote Gateway/Host （远程网关（远程网关 // 主机）主机） my.ddns.cnmy.ddns.cn （北京（北京 VPNVPN 网关的域名）网关的域名）Remote Net/MaskRemote Net/Mask （远程网络地址）（远程网络地址） 10.1.1.0/255.255.255.010.1.1.0/255.255.255.0

Initiate IKE negsInitiate IKE negs （主动发起（主动发起 IKEIKE 协商）协商）是是Preshared KeyPreshared Key （共享密钥）（共享密钥） 12341234

Authentication MethedAuthentication Methed （认证方式）（认证方式） Client-XauthClient-Xauth （扩展认证的服务器端）（扩展认证的服务器端）User_IDUser_ID ShanghaiShanghai （北京（北京 VPNVPN 网关所指定认证用户名）网关所指定认证用户名）PasswordPassword ************** （北京（北京 VPNVPN 网关所指定认证密码）网关所指定认证密码）


在已有防火墙的网在已有防火墙的网络中实现络中实现 VPNVPN 通讯通讯 VPNVPN网关与防火墙平行放置网关与防火墙平行放置 VPNVPN网关放置在防火墙之后网关放置在防火墙之后


VPNVPN 网关与防火墙平行放置网关与防火墙平行放置如果企业局域网满足以下条件，可以采用双网关结构分别实现如果企业局域网满足以下条件，可以采用双网关结构分别实现 IInternetnternet 访问和访问和 VPNVPN 通讯：通讯：通过一条线路接入通过一条线路接入 InternetInternet ，但拥有两个以上的接入，但拥有两个以上的接入 IPIP 通过两条线路接入通过两条线路接入 InternetInternet ，每条线路都有一个接入，每条线路都有一个接入 IPIP

防火墙内部 IP:10.1.1.1外部 IP:61.51.2.10

Internet

VPN 网关内部 IP:10.1.1.2外部 IP:61.51.2.11

VPN 终端虚拟 IP:192.168.1.3

VPN 网关总部内部网段： 10.1.1.0/255.255.255.0 分支内部网段： 192.168.0.

0/255.255.255.0

实现双网关配置的关键是在内部终端所指向的缺省网关上配置正确的静态路由表，以保实现双网关配置的关键是在内部终端所指向的缺省网关上配置正确的静态路由表，以保证对证对 InternetInternet 公共资源的访问由防火墙处理，而公共资源的访问由防火墙处理，而 VPNVPN 通讯由通讯由 VPNVPN 网关处理。网关处理。

配置总部局域网终端的缺省网关指向防配置总部局域网终端的缺省网关指向防火墙；火墙；

在总部在总部 VPNVPN 网关上为移动用户分配虚拟网关上为移动用户分配虚拟IPIP （属于（属于 192.168.1.0192.168.1.0 网段的网段的 IPIP ）；）；

在总部防火墙上配置静态路由表：将目在总部防火墙上配置静态路由表：将目标地址为标地址为 192.168.0.0/255.255.0.0192.168.0.0/255.255.0.0 网网段的通讯数据包将路由给段的通讯数据包将路由给 VPNVPN 网关处理网关处理

为了保证移动用户和分支机构能够与总部建为了保证移动用户和分支机构能够与总部建立立 VPNVPN 通讯，需要进行如下配置：通讯，需要进行如下配置：


VPNVPN 网关放置在防火墙之后网关放置在防火墙之后

防火墙内部 IP:10.1.1.1外部 IP:61.51.2.10

InternetVPN 网关外部 IP:10.1.1.2内部 IP:192.168.0.1内部网段： 192.168.0.0/255.2

55.255.0

对于现有防火墙的局域网，可将对于现有防火墙的局域网，可将 VPNVPN 网关放置在防火墙与内部网络之间，以实现网关放置在防火墙与内部网络之间，以实现本地局域网与远程主机本地局域网与远程主机 // 局域网之间的局域网之间的 VPNVPN 通讯。通讯。 VPNVPN 网关的外部网关的外部 IPIP 与防火墙的内与防火墙的内

部部 IPIP 属于同一网段，且属于同一网段，且 VPNVPN 网网关的默认网关指向防火墙的内部关的默认网关指向防火墙的内部 IIPP

VPNVPN 网关的内部网关的内部 IPIP 属于内部网段，属于内部网段，内部终端的缺省网关指向内部终端的缺省网关指向 VPNVPN 网网关的内部关的内部 IPIP

前置防火墙是可寻址的（有固定的公共前置防火墙是可寻址的（有固定的公共 IPIP或域名）或域名）防火墙能够为防火墙能够为 VPNVPN 网关提供网关提供 UDP 500UDP 500 和和 UDP 4500UDP 4500 端口的映射服务端口的映射服务

只有当以下条件满足时，本地只有当以下条件满足时，本地 VPNVPN 网关才能为远程网关才能为远程 VPNVPN 主机主机 // 网关提供接入服务网关提供接入服务（即它是可寻址的），否则它只能主动向其它可寻址（即它是可寻址的），否则它只能主动向其它可寻址 VPNVPN 网关发起网关发起 IKEIKE 协商请求。协商请求。

如果本地 VPN 网关符合上述条件（即能够为远程 VPN 主机 / 网关提供接入服务），远程 VPN 网关在配置隧道策略时，应当将配置项“ Remote Gateway/Host （远程网关 / 主机）” 的参数设为防火墙的外部 IP或域名。


通过中心通过中心 VPNVPN 服务器服务器实现多个远程局域网互实现多个远程局域网互联联客户需求客户需求实现原理实现原理配置方案配置方案通讯过程说明通讯过程说明


客户需求客户需求企业企业 VPNVPN 网络结构网络结构

小区宽带接入网关

安联防火墙VPN 网关

安联防火墙VPN 网关移动 VPN 终端（不可寻址）

安联防火墙VPN 网关 Internet

企业总部采用专线接入 Internet有固定的公共 IP （可寻址）

企业库房通过小区宽带接入 Intrent没有公共 IP （不可寻址）

企业分之机构通过 ADSL 接入 Intrent有动态的公共 IP （不可寻址）

企业企业 VPNVPN 业务需求业务需求分支机构、库房的局域网能够与企分支机构、库房的局域网能够与企业总部局域网实现业总部局域网实现 VPNVPN 通讯通讯

分支机构与库房的局域网能够实现分支机构与库房的局域网能够实现VPNVPN 通讯通讯

移动用户能够访问到所有的局域网移动用户能够访问到所有的局域网


实现原理实现原理

总部 VPN 服务器

库房 VPN 服务器分支机构 VPN 服务器

移动终端虚拟 IP： 10.0.4.2

内部网段： 10.0.2.0/255.255.255.0

内部网段： 10.0.3.0/255.255.255.0

VPN 隧道实际的数据包传输路径访问需求

内部网段： 10.0.1.0/255.255.255.0

通过前面提到的企业通过前面提到的企业 VPNVPN 网络结网络结构可以看出，总部的构可以看出，总部的 VPNVPN 网关是网关是可寻址的，所以分支机构、库房及可寻址的，所以分支机构、库房及移动用户都能够与其建立移动用户都能够与其建立 VPNVPN 隧隧道实现道实现 VPNVPN 通讯。但由于分之机通讯。但由于分之机构、库房的构、库房的 VPNVPN 网关以及移动用网关以及移动用户都是不可寻址的，所以分之机构户都是不可寻址的，所以分之机构与库房不能直接实现与库房不能直接实现 VPNVPN 通讯；通讯；移动用户也不能直接对分支机构和移动用户也不能直接对分支机构和库房进行库房进行 VPNVPN 访问，这些访问，这些 VPNVPN 通通讯都必须通过总部的讯都必须通过总部的 VPNVPN 网关进网关进行路由。行路由。

移动用户与分支机构访问库房时的通讯路径移动用户与分支机构访问库房时的通讯路径


配置方案配置方案

本地网关 / 主机 IP

本地网络远程网关 / 主机 IP

远程网络虚拟虚拟 IPIP

总部 VPN 网关 My_IP 10.0.0.0/255.255.0.0 Road Warrior 0.0.0.0/0.0.0.0 --

分支 VPN 网关 Road Warrior 10.0.2.0/255.255.255.0 总部的外部公共 IP 10.0.0.0/255.255.0.0 --

库房 VPN 网关 Road Warrior 10.0.3.0/255.255.255.0 总部的外部公共 IP 10.0.0.0/255.255.0.0 --

移动用户 Road Warrior 无本地网络总部的外部公共 IP 10.0.0.0/255.255.0.0 10.0.4.2

地址规划方案：地址规划方案：正确配置各个局域网的地址和为移动用户分配虚拟正确配置各个局域网的地址和为移动用户分配虚拟 IPIP 是实现此需求的关键，配置原则是：是实现此需求的关键，配置原则是：各个局域网必须使用不同的网段，且这些网段必须能够被一个上级网段所包含。同时移动各个局域网必须使用不同的网段，且这些网段必须能够被一个上级网段所包含。同时移动用户必须被分配一个虚拟用户必须被分配一个虚拟 IPIP ，且虚拟，且虚拟 IPIP 不能属于各个局域网网段，但也必须属于同一个不能属于各个局域网网段，但也必须属于同一个上级网段。上级网段。

隧道策略中的地址参数配置方案：隧道策略中的地址参数配置方案：

网络地址总部局域网 10.0.1.0/255.255.255.0

分支局域网 10.0.2.0/255.255.255.0

库房局域网 10.0.3.0/255.255.255.0


通讯过程说明通讯过程说明首先，通过首先，通过 IKEIKE 协商，在总部、分支机构、库房的协商，在总部、分支机构、库房的 VPNVPN 网关上以及移动终端网关上以及移动终端上分别建立实时安全关联，在各个安全关联中分别定义了如下通讯路径：上分别建立实时安全关联，在各个安全关联中分别定义了如下通讯路径：

IPSecIPSec 隧道本地端隧道本地端点点数据包源地址数据包源地址数据包目标地址数据包目标地址 IPSecIPSec 隧道目标端点隧道目标端点总部 VPN 网关上的安全关联总部 VPN 网关 10.0.0.0/255.255.0.0 10.0.2.0/255.255.255.0 分支机构 VPN 网关

10.0.0.0/255.255.0.0 10.0.3.0/255.255.255.0 库房 VPN 网关10.0.0.0/255.255.0.0 10.0.4.2 移动终端

分支机构 VPN 网关上的安全关联分支机构 VPN 网关 10.0.2.0/255.255.255.0 10.0.0.0/255.255.0.0 总部 VPN 网关库房 VPN 网关上的安全关联库房 VPN 网关 10.0.3.0/255.255.255.0 10.0.0.0/255.255.0.0 总部 VPN 网关移动终端上的安全关联移动终端 10.0.4.2 10.0.0.0/255.255.0.0 总部 VPN 网关以分支机构访问库房为例，其通讯过程是：以分支机构访问库房为例，其通讯过程是：

分支机构终端访问的目标地址为分支机构终端访问的目标地址为 10.0.3.X10.0.3.X ，其属于，其属于 10.0.0.0/255.255.255.010.0.0.0/255.255.255.0 ，所以，所以 VPNVPN 网关将对访问数据包进行网关将对访问数据包进行IPSecIPSec 处理，并发送给总部处理，并发送给总部 VPNVPN 网关。网关。

总部总部 VPNVPN 网关在收到该网关在收到该 IPSecIPSec 数据包后进行解包处理，并还原成原始数据包，由于数据包的目标地址不属于本地数据包后进行解包处理，并还原成原始数据包，由于数据包的目标地址不属于本地网络，且数据包符合总部与库房之间的网络，且数据包符合总部与库房之间的 IPSecIPSec 通讯规则（安全关联），所以总部通讯规则（安全关联），所以总部 VPNVPN 网关会再次对该数据包进行网关会再次对该数据包进行IPSecIPSec 处理并发送到库房处理并发送到库房 VPNVPN 网关。网关。

库房库房 VPNVPN 网关对网关对 IPSecIPSec 数据包进行解包处理，并最终将数据包发送其目标主机。数据包进行解包处理，并最终将数据包发送其目标主机。

Documents

安联防火墙 /VPN 网关软件 VPN 功能评估指南