范例2 - AboCom MH2000 说明书|使用手册

使用一台负载平衡器之ipsec vpn 与windows 2000 ipsec vpn 的设定vpn 联机方法先前作业

    甲公司使用负载平衡器

    wan ip 为61.11.11.11

    lan ip 为192.168.10.x

    乙公司使用windows2000 之单一pc

    wan ip 为211.22.22.22

    本范例以一台负载平衡器及windows 2000 vpn-ipsec 作为平台操作。假设乙公司211.22.22.22 要向甲公司192.168.10.100 做【虚拟私有网络】联机并下载其分享档案。

    甲公司的预设网关为负载平衡器的lan ip 192.168.10.1，以下为其设定步骤：

    步骤1. 进入甲公司负载平衡器预设地址192.168.10.1，在左方的功能选项中，点选【vpn】功能，再点选【ipsec 自动加密】次功能选项。并点选【新增】功能。（如图11-23 ）

步骤2. 于【ipsec 自动加密】窗体中，填写所使用的vpn 联机名称vpn_a，并点选来源地址为【内部网络】。并填入甲公司内部网络地址192.168.10.0 及屏蔽255.255.255.0。（如图11-24 ）

步骤3. 于【到目的地址】窗体中，选择远程客户端程序– 固定ip 或动态ip。（如图11-25 ）

步骤4. 于【认证方法】窗体中，选择preshare，并填入联机时的加密金钥(加密金钥最高可输入100 位)。（如图11-26 ）

步骤5. 于【加密或认证】窗体中，选择isakmp 算法(请参阅名词解说)，双方开始进行联机沟通时，选择建立联机时所需的算法加密演算(3des/des/aes) 选择3des 及认证的算法(md5/sha1)选择md5 认证方式。另外，需选择群组( group 1,2,5)双方需选择同一群组，此处选择group 2 来进行联机。（如图11-27 ）

    步骤6. 于【ipsec 算法】窗体中，可以选择资料加密+认证或是仅选择认证方式来沟通:

    加密算法(3des/des/aes/null)选择3des 加密演算，认证演算法(md5/sha1)选择md5 认证演算方式，来确保数据传输时所使用的加密认证方式。（如图11-28 ）

步骤7. 勾选进阶加密，并填写加密金钥更新周期填入28800 秒，并可输入乙公司可以保持联机的ip 地址211.22.22.22，使vpn 能够持续联机保持不断线。（如图11-29 ）

步骤8. 排程选择甲公司vpn 可联机时间、是否使用频宽管理vpn 频宽、可否允许彼此透过网络芳邻传输资料和使用认证方式授权vpn 联机。（如图11-30 ）

步骤9. 点选【确定】，完成甲公司设定。（如图11-31 ）

    乙公司的pc 使用实体ip（211.22.22.22），以下为其设定步骤：

    步骤1. 进入windows 2000 点选【开始】，选择【执行】功能。（如图11-32 ）

步骤2. 在【执行】窗口内的【开启】字段内输入指令mmc。（如图11-33 ）

步骤3. 进入【主控台1】窗口时，点选【主控台(c)】选项，并选择【新增/移除嵌入式管理单元】功能。（如图11-34 ）

步骤4. 于【新增/移除嵌入式管理单元】窗口中，按下【新增】钮，并在【新增独立嵌入式管理单元】窗口中，新增【ip 安全性原则管理】单元。（如图11-35 ）

步骤5. 选择【本机计算机(l)】，并按下【完成】钮。（如图11-36 ）

步骤6. 完成新增的动作。（如图11-37 ）

步骤7. 在【本机计算机上的ip 安全性原则】选项上按下鼠标右键，并选择【建立ip 安全性原则(c)】选项。（如图11-38 ）

步骤8. 点选【下一步】。（如图11-39 ）

步骤9. 填入vpn 联机所使用的【名称】及【描述】，并按【下一步】钮。（如图11-40 ）

步骤10. 请取消使用【激活预设的响应规则】，并按【下一步】钮。（如图11-41 ）

步骤11. 于【ip 安全性原则精灵】窗口中，选择【编辑内容】选项，并按下【完成】钮。（如图11-42 ）

步骤12. 于【vpn_b 内容】窗口中，请勿勾选【使用新增精灵】功能，并按下【新增】钮。（如图11-43 ）

步骤13. 于【新增规则内容】窗口中，按下【新增】钮。（如图11-44 ）

步骤14. 在【ip 筛选器清单】窗口中，请勿勾选【使用新增精灵】功能，更改【名称】为vpn_b wan to lan，并按下【新增】钮。（如图11-45 ）

步骤15. 于【筛选器内容】窗口中，请于【来源地址】的下拉式选单中点选【特定ip 地址】，并输入乙公司的外部网络ip 211.22.22.22 子网掩码255.255.255.255 ，请于【目的地地址】的下拉式选单中点选【特定ip 子网络】，并输入甲公司的内部网络192.168.10.0 子网掩码255.255.255.0，请勿勾选【已镜像处理。也对映完全相反的来源及目的地址的封包】功能。（如图11-46 ）

步骤16. 完成设定，并关闭【ip 筛选器清单】窗口。（如图11-47 ）

步骤17. 于【新增规则内容】的【筛选器动作】窗口中，选择【需要安全性】功能，并按下【编辑】钮。（如图11-48 ）

步骤18. 于【需要安全性内容】窗口中，勾选【工作阶段辨识码完整转寄密码】功能。（如图11-49 ）

步骤19. 请选择自定/ 无/ 3des / md5 安全性方法，并按下【编辑】钮。（如图11-50 ）

步骤20. 点选【自定(提供给专业使用者)】选项，并按下【设定】钮。（如图11-51 ）

步. 骤21 请勾取【资料完整性及加密(esp)】，分别选择【整合算法】为md5和【加密算法】为3des，勾选【产生新金钥间隔】，并输入28800秒。然后按3 次【确定】回到【新增规则内容】窗口。（如图11-52 ）

步骤22. 于【新增规则内容】的【联机类型】窗口中，选择【所有网络联机】。（如图11-53 ）

步骤23. 于【新增规则内容】的【信道设定】窗口中，选择【由这个ip 地址来指定信道的结束点】，并输入甲公司wan 的ip 地址61.11.11.11。（如图11-54 ）

步骤24. 于【新增规则内容】的【验证方法】窗口中，按下【编辑】钮。（如图11-55 ）

步骤25. 点选【使用这个字符串来保护金钥间的交换】选项，并输入双方所要连线的金钥123456789。（如图11-56 ）

步骤26. 【套用】设定，并关闭设定窗口。（如图11-57 ）

步骤27. 完成vpn_b wan to lan 规则所有设定。（如图11-58 ）

步骤28. 请再次进入【vpn_b 内容】窗口，请勿勾选【使用新增精灵】功能，并按下【新增】钮，以新增第二条ip 安全性规则。（如图11-59 ）

步骤29. 于【新增规则内容】窗口中，按下【新增】钮。（如图11-60 ）

步骤30. 于【ip 筛选器清单】窗口中，请勿勾选【使用新增精灵】功能，更改【名称】为vpn_b lan to wan，并按下【新增】钮。（如图11-61 ）

步骤31. 于【筛选器内容】窗口中，请于【来源地址】的下拉式选单中点选【特定ip 子网络】，并输入甲公司的内部网络192.168.10.0 子网掩码255.255.255.0 ，请于【目的地地址】的下拉式选单中点选【特定ip地址】，并输入乙公司的外部网络ip 211.22.22.22 子网掩码255.255.255.255，请勿勾选【已镜化处理。也对映完全相反的来源及目的地址的封包】功能。（如图11-62 ）