在前面我發(fā)了一篇文章《juniper防火墻之圖解l2tp vpn配置》�,我們從那篇文章中了解了如何配置。但是我們知道�����,L2TP VPN只是與我們的L2TP VPN服務(wù)器連接起來(lái)了�����,但并沒(méi)有對(duì)我們的數(shù)據(jù)進(jìn)行加密�,我們也知道IPSEC它的數(shù)據(jù)是經(jīng)過(guò)加密了的,如果對(duì)IPSEC不清楚的朋友可以看看我以前發(fā)的《ipsec vpn概念(一) 》與《ipsec vpn概念(二) 》進(jìn)行了解����。好了那我們的IPSEC是需要經(jīng)過(guò)加密,而我們的L2TP提供我們與服務(wù)器的連接�,那么我們?nèi)绾尾话阉o結(jié)合起來(lái)一起用,即起到了我們的加密的作用�����,又起到我們遠(yuǎn)程連接的作用����。那么下面我們來(lái)看看如何來(lái)配置?
我們?cè)倩仡櫼幌挛覀僇uniper防火墻的L2TP VPN的配置:
第一步:我們先建立一個(gè)地址池�,給我們通過(guò)L2TP VPN撥號(hào)進(jìn)來(lái)的用戶使用。
點(diǎn)擊"Objects>>IP Pools"右邊的"New"來(lái)添加一個(gè)新的地址池�����。
IP Pool Name:地址池的名稱�,以便我們等一會(huì)后面好調(diào)用。
Start IP:這個(gè)地址池的起始IP地址�。
End IP:這個(gè)地址池的結(jié)束IP地址。
填寫(xiě)完了以后點(diǎn)擊"OK"�。
當(dāng)我們點(diǎn)擊"OK"以后,在這里就會(huì)顯示出我們剛才建立的那個(gè)地址池。
點(diǎn)擊"Objects>>Users>>Local"來(lái)添加一個(gè)新的用戶�。
我們現(xiàn)在來(lái)定義一個(gè)L2TP+IKE用戶:
在第四那個(gè)位置應(yīng)該是:www.l2tpoveripsec.com才對(duì),好像是這種格式吧����。
這里我們要注意的是,我們這一個(gè)用戶擔(dān)任兩個(gè)任務(wù)哦�����,第一就是用于我們l2tp撥號(hào)使用�,還有一個(gè)就是ipsec IKE的連接使用。
上面這里面我就不多說(shuō)了哈����。大家一看就應(yīng)該明白的。
從上圖我們可以看見(jiàn)"l2tpoveripsec"這個(gè)用戶的類型字段有兩個(gè)�����,一個(gè)是"IKE"另一個(gè)就是"L2TP"�����,也就說(shuō)明我們的這個(gè)用戶的身份有兩種�。
現(xiàn)在我們用戶已經(jīng)建立好了,我們還需要建立一個(gè)用戶組�����,用來(lái)存放我們的這個(gè)用戶�����。
進(jìn)入"Objects>>Users>>Local Groups"里面點(diǎn)擊"New"來(lái)建立我們的用戶組����。
按照上圖一步一步的配置,完成以后點(diǎn)擊"OK"�。
當(dāng)完成以后,我們可以看到我們剛才建立的用戶組����。
現(xiàn)在我們來(lái)修改一下我們的L2TP的缺省設(shè)置:
進(jìn)入"VPNs>>L2TP>>Default Settings"里面來(lái)修改。
注意:Default Authentication Server:這里我們一定要選擇"Local"因?yàn)槲覀冞@里使用的用戶數(shù)據(jù)庫(kù)是本地的�����,沒(méi)有使用AAA服務(wù)器上的����。所以在這里要選擇"Local"
"IP Pool Name"這里選擇我們剛才建立的DHCP地址池�����,用來(lái)給我們L2TP用戶分配IP地址�����。
#p#副標(biāo)題#e#
下面來(lái)定義"L2TP-Tunnel":
?在這里首選給這個(gè)Tunnel取上一個(gè)名稱(Name)�。然后我們選擇用戶自定義設(shè)置(Use CuCustom Settings)�����。在用戶自定義設(shè)置下面要注意的是:
"Authentication Server"后面要選擇本地����,因?yàn)槲覀儸F(xiàn)在用戶庫(kù)是在我們的Juniper防火墻上面。
"Dialup Group"撥號(hào)組�,我們使用我們剛才建立的"l2tpipsecgroup"下的用戶來(lái)進(jìn)行撥號(hào)
"Outgoing Interface"出去的接口,因?yàn)槲疫@臺(tái)設(shè)置是比較低端的�,只有trust和untrust,不能選擇接口����,所以我們里就選擇untrust.
"IP Pool Name"這個(gè)就是,當(dāng)我們用戶撥號(hào)到這臺(tái)防火墻上面�����,它通過(guò)"L2TP-POOL"里面拿地址來(lái)分配給我們的用戶�����。
設(shè)置好了以后點(diǎn)擊"OK"����。
從上圖我們可以看見(jiàn),你的Tunnel的名稱����,用戶,對(duì)等體的IP地址�����,主機(jī)名����,出接口等等。
我們現(xiàn)在來(lái)定義一個(gè)地址本(WebUI):
現(xiàn)在我們來(lái)添加一個(gè)"Gateway""VPNs>>AutoKey Advanced>>Gateway"點(diǎn)擊后面的"New"來(lái)進(jìn)行添加�。
Gateay Name:名稱
在"Remote Gateway"下面我們就要選擇"Dialup User Group"因?yàn)槲覀冃枰褂眠@個(gè)組下面的用戶來(lái)進(jìn)行撥號(hào)。
在"Group"后面選擇我們前面所建立的用戶撥號(hào)組����。
填定完了我們點(diǎn)擊"Advanced"來(lái)進(jìn)行下一步的設(shè)置����。
在我們高級(jí)頁(yè)面里面�����,"Preshared Key"我們的共享密鑰����。在安全級(jí)別(Security Level)下面選擇"Custom(自定義)",在第四步我們使用第一階段認(rèn)證的一些東西����。如使用預(yù)共享,DH使用的是Group 2����,使用des加密算法加密,hash使用的是md5�����。
#p#副標(biāo)題#e#
在"Mode(Initiator)"后面我們"Aggressive(積極模式)"這些設(shè)置好了以后點(diǎn)擊"OK"�����。
![]()
juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置