PnPVPN配置举例

本节提供一个PnPVPN配置实例。

A公司总部位于北京，在上海和广州设有办事处，三地均可成功接入Internet。由于业务需求，需要组建VPN网络，达到以下目的：

• 广州和上海办事处的员工通过VPN访问总部数据库；
• 公司员工（包括总部和两办事处三地）之间可以通过VPN共享资源。

通过配置PnPVPN可实现以上需求，并且简单实用。配置方式如下：

• 公司总部选用一台安全网关作为PnPVPN Server，采用本地认证方式；
• 上海和广州办事处各部署一台SR系列安全路由器，作为PnPVPN Client，接入总部VPN网络。
• 通过策略和路由配置实现允许公司员工之间的资源共享。

组网图如下：

根据以上组网图，具体网络环境描述如下：

• 总部局域网网段为192.168.1.0/24，通过接口ethernet0/0接入网络，属于trust安全域；
• 总部服务器群网段为192.168.200.0/24，通过接口ethernet0/2接入网络，属于trust安全域；
• 总部安全网关通过接口ethernet0/1（IP地址为202.106.6.208）接入Internet，属于untrust安全域。
• 上海办事处SR设备接入Internet的接口IP地址为61.170.6.208，广州办事处SR设备接入Internet的IP地址为59.42.6.208。
• PnPVPN Server将分配192.168.2.0/24网段到上海办事处，192.168.3.0/24网段到广州办事处。

请按照以下步骤进行配置：

第一步：配置本地AAA服务器。

1. 访问“用户AAA服务器”，进入AAA服务器列表页面。
2. 点击AAA服务器列表中的『新建』按钮，主窗口显示AAA服务器配置选项。具体配置信息如下：

• 名称：test
• 类型：本地
  

3. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。

第二步：为上海办事处配置网络参数。

1. 访问“用户用户”，进入用户列表页面。
2. 在<AAA服务器>下拉菜单中选择“test”，并点击用户列表中的『新建用户』按钮，主窗口显示新建用户配置选项。具体配置信息如下：

• 名称：shanghai
• 密码：shanghaiuser
• 确认：shanghaiuser
• IKE标识：FQDN
• IKE标识：shanghai
• DHCP起始地址：192.168.2.1
• DHCP结束地址：192.168.2.100
• DHCP网络掩码：255.255.255.0
• DHCP网关：192.168.2.101
  

3. 点击『确定』按钮保存所做配置并返回用户列表页面。
4. 在<AAA服务器>下拉菜单中选择“test”，点击用户列表中用户“shanghai”<操作>栏中的『编辑』按钮，主窗口显示编辑用户配置选项。具体配置信息如下：

• 隧道路由：点击『多个』按钮，进入隧道路由配置页面，为当前用户添加多条隧道路由：192.168.200.0/24、192.168.1.0/24和192.168.3.0/24

5. 点击『确定』按钮保存所做修改并返回用户列表页面。

第三步：为广州办事处配置网络参数。

1. 访问“用户用户”，进入用户列表页面。
2. 在<AAA服务器>下拉菜单中选择“test”，并点击用户列表中的『新建用户』按钮，主窗口显示新建用户配置选项。具体配置信息如下：

• 名称：guangzhou
• 密码：guangzhouuser
• 确认：guangzhouuser
• IKE标识：FQDN
• IKE标识：guangzhou
• DHCP起始地址：192.168.3.1
• DHCP结束地址：192.168.3.100
• DHCP网络掩码：255.255.255.0
• DHCP网关：192.168.3.101
  

3. 点击『确定』按钮保存所做配置并返回用户列表页面。
4. 在<AAA服务器>下拉菜单中选择“test”，点击用户列表中用户“guangzhou”<操作>栏中的『编辑』按钮，主窗口显示编辑用户配置选项。具体配置信息如下：

• 隧道路由：点击『多个』按钮，进入隧道路由配置页面，为当前用户添加多条隧道路由：192.168.200.0/24、192.168.1.0/24和192.168.2.0/24

5. 点击『确定』按钮保存所做修改并返回用户列表页面。

第四步：配置PnPVPN Server。

1. 访问“VPNIPSec VPNP1提议”，进入P1提议列表页面。
2. 点击列表中的『新建』按钮，弹出<阶段1提议配置>对话框。具体配置信息如下：

• 提议名称：test1
• 认证：Pre-shared Key
• 验证算法：SHA-1
• 加密算法：3DES
• DH组：Group2
• 生存时间：86400

5. 点击『确定』按钮保存所做配置并返回主配置页面。
6. 访问“VPNIPSec VPNP2提议”，进入P2提议列表页面。
7. 点击列表中的『新建』按钮，弹出<阶段2提议配置>对话框。具体配置信息如下：

• 提议名称：test2
• 协议：ESP
• 验证算法1：SHA-1
• 加密算法1：3DES
• PFS组：No PFS
• 生存时间：28800

8. 点击『确定』按钮保存所做配置并返回主配置页面。
9. 访问“VPNIPSec VPNVPN对端”，进入对端列表页面。
10. 点击列表中的『新建』按钮，主窗口显示对端配置选项。具体配置信息如下：

• 对端名称：test1
• 接口：从下拉菜单中选择“ ethernet0/1”
• 模式：野蛮模式
• 类型：用户组
• AAA服务器：test
• 提议1：test1
• 预共享密钥：123456

11. 点击<生成用户密钥>部分的『生成』按钮，弹出<生成用户密钥>对话框。具体配置信息如下：

• 生成上海客户端密钥：输入用户ID：shanghai和预共享密钥：123456，点击『生成』按钮，生成的密钥（userkey: kyZAKmLWCc5Nz75fseDiM2r+4Vg=）将显示在<生成结果>文本框中。PnPVPN Client将使用该密钥作为密码进行登录认证。点击『关闭』按钮返回对端配置页面。
• 生成广州客户端密钥：输入用户ID：guangzhou和预共享密钥：123456，点击『生成』按钮，生成的密钥（userkey: SdqhY4+dPThTtpipW2hs2OMB5Ps=）将显示在<生成结果>文本框中。PnPVPN Client将使用该密钥作为密码进行登录认证。点击『关闭』按钮返回对端配置页面

12. 点击『确定』按钮保存所做配置并返回主配置页面。
13. 访问“VPNIPSec VPNIPSec VPN”，进入IPSec VPN列表页面。
14. 点击IKE VPN列表中『新建』按钮，主窗口显示IKE VPN配置页面。点击<步骤1：对端>，然后点击<对端名称>文本框后的『导入』按钮，在下拉菜单中选择“test1”。用户也可以直接在该页面新建对端（ISAKMP网关）。
15. 点击<步骤2：隧道>进行VPN隧道配置。具体配置信息如下：

• 名称：test
• 模式：tunnel
• 提议名称：test2
• 代理ID：自动
• DNS1：192.168.200.1
• DNS2：192.168.200.11
• WINS1：192.168.200.2
• WINS2：192.168.200.12

16. 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。

第五步：配置策略规则。

1. 访问“网络安全域”，进入安全域列表页面。
2. 点击列表中的『新建』按钮，弹出<安全域配置>对话框。具体配置信息如下：

• 安全域名称：VPN
• 安全域类型：三层安全域
• 虚拟路由器：从下拉菜单中选择“trust-vr”

3. 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
4. 访问“网络接口”，进入接口列表页面。
5. 点击接口列表中的『新建』按钮，并选中<隧道接口>，主窗口显示隧道接口基本配置选项。具体配置信息如下：

• 接口名：tunnel1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“VPN”
• 隧道类型：IPSec
• VPN名称：从下拉菜单中选择“test”

6. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。
7. 访问“防火墙策略”，进入策略列表页面。
8. 在列表<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：VPN
• 源地址：Any
• 目的安全域：trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

9. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
10. 在列表<源安全域>下拉菜单中选中“trust”，<目的安全域>下拉菜单中选中“VPN”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：trust
• 源地址：Any
• 目的安全域：VPN
• 目的地址：Any
• 服务簿：Any
• 行为：允许

11. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
12. 在列表<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“VPN”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：VPN
• 源地址：Any
• 目的安全域：VPN
• 目的地址：Any
• 服务簿：Any
• 行为：允许

13. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第六步：配置路由。

1. 访问“网络路由目的路由”，进入目的路由列表页面。
2. 点击目的路由列表中『新建』按钮，弹出<目的路由配置>对话框，目的路由具体配置信息如下：

• 目的IP：192.168.2.0
• 子网掩码：255.255.255.0
• 下一跳：接口
• 接口：从下拉菜单中选中“tunnel1”
• 网关：61.170.6.208

3. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。
4. 点击目的路由列表中『新建』按钮，弹出<目的路由配置>对话框，目的路由具体配置信息如下：

• 目的IP：192.168.3.0
• 子网掩码：255.255.255.0
• 下一跳：接口
• 接口：从下拉菜单中选中“tunnel1”
• 网关：59.42.6.208

5. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。

第七步：配置客户端。

上海办事处

1. 登录SR安全路由器WebUI，访问“VPNPnPVPN”，进入PnPVPN Client配置页面。具体配置信息如下：

• 服务器IP地址：202.106.6.208
• 本地ID：shanghai
• 密码：shanghaiuser
• 确认：shanghaiuser
• 自动保存：选中复选框
• 外网接口（英特网接口）：WAN1
• 内网接口（DHCP启用接口）：LAN1

3. 点击『确定』按钮保存所做配置并发起链接。

广州办事处

1. 登录SR安全路由器WebUI，访问“VPNPnPVPN”，进入PnPVPN Client配置页面。具体配置信息如下：

• 服务器IP地址：202.106.6.208
• 本地ID：guangzhou
• 密码：guangzhouuser
• 确认：guangzhouuser
• 自动保存：选中复选框
• 外网接口（英特网接口）：WAN1
• 内网接口（DHCP启用接口）：LAN2

3. 点击『确定』按钮保存所做配置并发起链接。