模塊6VPN技術防火墻技術與應用微課版01模塊概述03知識準備04項目實施02教學目標C教學過程壹模塊概述模塊概述隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的普及，企業(yè)網(wǎng)絡中出現(xiàn)分支機構、出差員工與總部網(wǎng)絡通信的需求，以便共享資源、協(xié)同辦公。傳統(tǒng)的專線聯(lián)網(wǎng)方式，需要租用運營商線路，費用高且擴展性和靈活性差；采用VPN技術，可以利用廉價的公共網(wǎng)絡，以低成本方案滿足上述通信需求。VPN技術通過在公共網(wǎng)絡上建立一個安全的、加密的通道，使得遠程用戶或分支機構能夠像在本地局域網(wǎng)一樣安全地訪問內部網(wǎng)絡資源。它利用了隧道技術、加密技術和身份驗證等多種手段來實現(xiàn)這一目標。貳教學目標教學目標知識目標技能目標素養(yǎng)目標1．了解VPN采用的主要技術及特點。2．掌握GRE、L2TP、IPSec、SSL等VPN技術的工作原理。3．掌握GREoverIPSec、L2TPoverIPSec的作用及應用。1．強化密鑰生命周期管理意識，建立定期更新機制。2．培養(yǎng)隧道分離思維，嚴格區(qū)分管理流量和業(yè)務流量。3．提升協(xié)議協(xié)同決策能力，明確“認證嵌套加密”的必要性。1．能夠配置IPSecVPN。2．能夠配置GREVPN及GREoverIPSecVPN。3．能夠配置L2TPVPN及L2TPoverIPSecVPN。4．能夠配置SSLVPN。叁知識準備知識準備6.2.1VPN技術簡介6.2.2VPN采用的主要技術6.2.3

主流VPN技術6.2.1VPN技術簡介VPN（虛擬專用網(wǎng)絡）是一種通過共享的公共網(wǎng)絡建立私有的數(shù)據(jù)通道，將各個需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡或終端通過通道連接起來，構成一個專用的、具有一定安全性和服務質量保證的網(wǎng)絡。定義虛擬：使用IP機制仿真出一個私有的廣域網(wǎng)。專用網(wǎng)絡：是指用戶可以根據(jù)通信需求，定制專屬的私有網(wǎng)絡。

關鍵詞126.2.1VPN技術簡介（1）企業(yè)遠程辦公：為員工提供安全的遠程訪問企業(yè)內部網(wǎng)絡的方式，提高工作效率。（2）跨地域企業(yè)通信：連接企業(yè)的多個分支機構，實現(xiàn)數(shù)據(jù)共享和協(xié)同工作。（3）移動設備接入：支持智能手機、平板電腦等移動設備接入企業(yè)網(wǎng)絡，方便員工隨時隨地辦公。（4）在線游戲和視頻流：一些玩家和用戶可能會使用VPN訪問特定地區(qū)的游戲服務器或視頻內容。一、VPN應用場景6.2.1VPN技術簡介（1）企業(yè)遠程辦公：為員工提供安全的遠程訪問企業(yè)內部網(wǎng)絡的方式，提高工作效率。（2）跨地域企業(yè)通信：連接企業(yè)的多個分支機構，實現(xiàn)數(shù)據(jù)共享和協(xié)同工作。（3）移動設備接入：支持智能手機、平板電腦等移動設備接入企業(yè)網(wǎng)絡，方便員工隨時隨地辦公。（4）在線游戲和視頻流：一些玩家和用戶可能會使用VPN訪問特定地區(qū)的游戲服務器或視頻內容。二．VPN的優(yōu)點6.2.1VPN技術簡介三、VPN組網(wǎng)方式根據(jù)客戶網(wǎng)絡接入方式的不同，VPN組網(wǎng)可分為：站點到站點（SitetoSite）總部網(wǎng)絡分支機構合作伙伴6.2.1VPN技術簡介三、VPN組網(wǎng)方式根據(jù)客戶網(wǎng)絡接入方式的不同，VPN組網(wǎng)可分為：遠程訪問（RemoteAccess）總部網(wǎng)絡出差員工6.2.2VPN采用的主要技術01隧道技術03加密技術02認證技術04密鑰管理技術6.2.2VPN采用的主要技術數(shù)據(jù)進入源VPN網(wǎng)關后，將數(shù)據(jù)“封裝”后通過公網(wǎng)傳輸?shù)侥康腣PN網(wǎng)關后再對數(shù)據(jù)“解封裝”?？偛烤W(wǎng)絡分支機構原始報文原始報文VPN隧道封裝后的報文解封裝后的報文1.隧道技術6.2.2VPN采用的主要技術（1）身份認證技術。用于驗證接入入戶的合法性。主要采用用戶名、密碼以及USBKey等認證方式。（2）數(shù)據(jù)認證技術。用于保證數(shù)據(jù)在網(wǎng)絡傳輸過程中不被篡改，以保證數(shù)據(jù)的原始性。主要采用散列算法。2.認證技術6.2.2VPN采用的主要技術將明文數(shù)據(jù)轉換為密文數(shù)據(jù)?？梢员ＷC網(wǎng)絡中數(shù)據(jù)傳輸?shù)陌踩裕箶?shù)據(jù)不會被篡改和窺探。加密123456AC&D23#S@123456解密源目的VPN3.加密技術6.2.2VPN采用的主要技術主要作用：保證在互聯(lián)網(wǎng)上傳遞的密鑰不被竊取。功能包括：密鑰的產生、分配保存、更換銷毀等環(huán)節(jié)。4.密鑰管理技術6.2.3主流VPN技術GREVPN是一種三層VPN封裝技術。GRE可以實現(xiàn)數(shù)據(jù)報文在互聯(lián)網(wǎng)隧道中進行封裝和解封裝；也可以解決了跨越異種網(wǎng)絡的報文傳輸問題。1.GREVPNGRE隧道Dst:Src:dataDst:Src:GREDst:Src:dataDst:Src:data/24/24tunnel0:tunnel0:GRE封裝PC2PC1FW1FW2L2TPVPN是為在用戶和企業(yè)的服務器之間透明傳輸PPP報文而設置的二層隧道協(xié)議。提供了對PPP鏈路層數(shù)據(jù)包的通道傳輸支持。主要用于企業(yè)駐外機構和出差人員遠程連接企業(yè)總部網(wǎng)絡。2.L2TPVPN6.2.3主流VPN技術三種使用場景：LNS-Initiated(L2TP網(wǎng)絡服務器發(fā)起)LAC自動撥號

(L2TP接入集中器自動撥號)Client-Initiated

(L2TP客戶端發(fā)起)2.L2TPVPN6.2.3主流VPN技術Client-InitiatedVPN中，每個接入用戶和LNS之間均建立一條隧道，每條隧道中僅承載一條L2TP會話和PPP連接。2.L2TPVPN6.2.3主流VPN技術IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報文交互提供了基于密碼學的、可互操作的、高質量的安全保護機制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡層VPN。3.IPsecVPN6.2.3主流VPN技術協(xié)議體系IPSec通過驗證頭AH和封裝安全載荷ESP兩個安全協(xié)議實現(xiàn)IP報文的安全保護。安全聯(lián)盟IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對等體（即運行IPSec協(xié)議的兩個端點）之間成功建立安全聯(lián)盟SA。3.IPsecVPN6.2.3主流VPN技術封裝模式傳輸模式：AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間，保護TCP/UDP/ICMP負載。隧道模式：AH頭或ESP頭被插到原始IP頭之前，另外生成一個新的報文頭放到AH頭或ESP頭之前，保護IP頭和負載。IKESA為IPSec提供了自動協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務。3.IPsecVPN6.2.3主流VPN技術SSL是一個安全協(xié)議，為基于TCP的應用層協(xié)議提供安全連接；SSL可以為HTTP提供安全連接，廣泛應用于電子商務、網(wǎng)上銀行等領域；SSLVPN的主要功能包括：用戶認證、web代理、文件共享、端口轉發(fā)和網(wǎng)絡拓展等。4.SSLVPN6.2.3主流VPN技術肆項目實施6.3.1配置GREVPN

實訓：GREVPN配置某公司在異地開設了分支機構，總、分支網(wǎng)絡都已接入到Internet，公網(wǎng)路由可達?？偛烤W(wǎng)絡部署了FTP服務器，只為內網(wǎng)用戶提供文件共享服務。為方便辦公，公司希望分支機構用戶也能夠訪問總部的FTP服務器。通過在防火墻配置GREVPN，實現(xiàn)上述通信要求。任務描述6.3.1配置GREVPN

(三)任務實施1．拓撲圖2．需求說明總部、分支網(wǎng)絡分別接入運營商，均可訪問Internet。分支/24網(wǎng)絡可通過GREVPN隧道訪問總部FTP服務器1/24。分支FW1FTPG1/0/154/248/30G1/0/6總部PC10/28G1/0/6FW2G1/0/154/24/241/24GREVPN/24tunnel0/24tunnel06.3.1配置GREVPN

3．配置說明(三)任務實施部署Internet環(huán)境，使用一臺路由器模擬運營商，充當總部、分支的出口網(wǎng)關；配置防火墻各接口的IP地址、安全區(qū)域等基礎信息；配置GRE隧道接口，并設置安全區(qū)域為untrust；配置防火墻安全策略；配置源NAT策略，使總、分支網(wǎng)絡均可訪問外網(wǎng)；配置隧道靜態(tài)路由；測試配置結果是否滿足需求。6.3.1配置GREVPN

（四）關鍵操作步驟創(chuàng)

建隧道接口并設置安全區(qū)域

配置隧道靜態(tài)路由防火墻FW1配置隧道接口Tunnel0：[FW1]inttunnel0[FW1-Tunnel0]tunnel-protocolgre//啟動gre協(xié)議[FW1-Tunnel0]ipadd24[FW1-Tunnel0]source0[FW1-Tunnel0]destination8防火墻FW1配置隧道接口安全區(qū)域：[FW1]firewallzoneuntrust[FW1-zone-untrust]addintertunnel06.3.1配置GREVPN

（四）關鍵操作步驟創(chuàng)

建隧道接口并設置安全區(qū)域

配置隧道靜態(tài)路由

防火墻FW2WEB配置隧道接口：6.3.1配置GREVPN

（四）關鍵操作步驟創(chuàng)

建隧道接口并設置安全區(qū)域

配置隧道靜態(tài)路由

防火墻FW1配置隧道靜態(tài)路由：[FW1]iproute-static24tunnel0

防火墻FW2WEB配置隧道靜態(tài)路由：6.3.1配置GREVPN

（四）關鍵操作步驟測試結果1.分支用戶訪問總部FTP服務器：6.3.1配置GREVPN

（四）關鍵操作步驟測試結果2.分支FW2查看GRE監(jiān)控信息：6.3.1配置GREVPN

注意事項隧道接口創(chuàng)建后，需要加入到安全區(qū)域，并且保證防火墻安全策略放行VPN流量。GREVPN建立后，隧道兩端可互相通信的網(wǎng)絡是通過隧道靜態(tài)路由來設置的。特別注意出接口為隧道接口。6.3.2配置L2TPVPN實訓：L2TPVPN配置某公司因業(yè)務需要，需派遣員工前往異地出差。為方便辦公，出差員工希望在異地也能夠訪問總部內網(wǎng)。通過在防火墻配置L2TPVPN，實現(xiàn)上述通信要求。任務描述6.3.2配置L2TPVPN(三)任務實施1．拓撲圖2．需求說明總部網(wǎng)絡和出差員工均可訪問Internet。出差員工通過L2TPVPN隧道可訪問總部服務器/24。FW1ServerG1/0/154/24總部0/28G1/0/6出差員工/24/24L2TPVPN隧道6.3.2配置L2TPVPN3．配置說明(三)任務實施使用一臺路由器模擬運營商，充當總部、出差員工的網(wǎng)關；配置防火墻各接口的IP地址、安全區(qū)域等基礎信息；配置L2TP客戶端地址池及用戶信息；創(chuàng)建L2TP虛擬模板（虛擬接口及IP地址、身份驗證方式、安全區(qū)域及關聯(lián)用戶地址池）；配置L2TP組（隧道名、隧道認證方式及密碼、調用虛擬模板）配置防火墻安全策略和配置源NAT策略；配置客戶端SecoClient，并進行連接測試及通信測試。6.3.2配置L2TPVPN（四）關鍵操作步驟

配置L2TP客戶端地址池及用戶信息

配置L2TP虛擬模板

配置L2TP組防火墻FW1配置客戶端用戶地址池：[FW1]ippooll2tp[FW1-ip-pool-l2tp]section00050[FW1-ip-pool-l2tp]aaa [FW1-aaa]service-schemel2tp_pool //定義服務計劃[FW1-aaa-service-l2tp_pool]ip-pooll2tp//綁定ip地址l2tp[FW1-aaa-service-l2tp_pool]quit [FW1-aaa]domaindefault [FW1-aaa-domain-default]service-schemel2tp_pool//默認域default調用服務計劃防火墻FW1配置客戶端用戶信息：[FW1]user-manageuserl2tp-user1[FW1-localuser-l2tp-user1]passworduser1@1236.3.2配置L2TPVPN（四）關鍵操作步驟

配置L2TP客戶端地址池及用戶信息

配置L2TP虛擬模板

配置L2TP組防火墻FW1配置L2TPVPN虛擬模板：[FW1]intVirtual-Template1[FW1-Virtual-Template1]ipadd5424 [FW1-Virtual-Template1]pppauthentication-modechap//配置身份驗證模式為chap[FW1-Virtual-Template1]remoteservice-schemel2tp_pool[FW1]firewallzoneuntrust[FW1-zone-untrust]addintVirtual-Template1//虛擬接口加入到untrust域6.3.2配置L2TPVPN（四）關鍵操作步驟

配置L2TP客戶端地址池及用戶信息

配置L2TP虛擬模板

配置L2TP組防火墻FW1配置L2TP組：[FW1]l2tpenable //開啟L2TP服務[FW1]l2tp-group1//創(chuàng)建L2TP組[FW1-l2tp-1]tunnelnameLNS//本端隧道名[FW1-l2tp-1]tunnelauthentication//開啟認證[FW1-l2tp-1]tunnelpasswordcipherhuawei@123 //配置認證密碼[FW1-l2tp-1]allowl2tpvirtual-template1remoteL2TP_Client

//調用L2TP虛擬模板，對端隧道名為L2TP_Client6.3.2配置L2TPVPN（四）關鍵操作步驟測試結果1.配置客戶端參數(shù)并撥號連接：6.3.2配置L2TPVPN（四）關鍵操作步驟測試結果2.出差用戶訪問總部服務器：6.3.2配置L2TPVPN注意事項如果存在多個遠程用戶需要同時撥號建立L2TPVPN，需要使用地址池方式為客戶端分配地址。如果僅存在一個遠程用戶，可以直接指定客戶端地址。遠程用戶撥號可以使用華為客戶端工具SecoClient，也可以使用系統(tǒng)創(chuàng)建VPN連接。6.3.3配置IPSecVPN實訓：IPSec

VPN配置某公司在異地開設了分支機構，總、分支網(wǎng)絡都已接入到Internet，公網(wǎng)路由可達?？偛烤W(wǎng)絡部署了OA辦公系統(tǒng)，只允許內部員工使用。為方便辦公，公司希望分支機構用戶也能夠使用OA辦公系統(tǒng)，并實現(xiàn)安全的數(shù)據(jù)傳輸。通過在防火墻配置IPsecVPN，實現(xiàn)上述通信要求。任務描述6.3.3配置IPSecVPN(三)任務實施1．拓撲圖2．需求說明總部和分支均可訪問Internet?？偛亢头种C構建立IPsecVPN，實現(xiàn)分支機構用戶能夠訪問企業(yè)OA系統(tǒng)。分支FW1OAG1/0/154/248/30G1/0/6總部PC10/28G1/0/6FW2G1/0/154/24/2400/24IPsecVPN6.3.3配置IPSecVPN3．配置說明(三)任務實施使用路由器模擬運營商，充當總部、分支機構的網(wǎng)關；配置防火墻各接口的IP地址、安全區(qū)域等基礎信息；配置防火墻安全策略和配置源NAT策略；配置ACL，定義VPN流量；配置IKE安全提議，并創(chuàng)建IKE對等體；配置ipsec安全提議，并配置ipsec安全策略；接口應用安全策略；通信測試。6.3.3配置IPSecVPN（四）關鍵操作步驟防火墻FW1配置ACL，定義VPN流量：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應用安全策略[FW1]acl3000[FW1-acl-adv-3000]rulepermitipsource000destination55

//允許OA系統(tǒng)服務器00與分支網(wǎng)絡/24通信6.3.3配置IPSecVPN（四）關鍵操作步驟防火墻FW1配置IKE對等體：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應用安全策略[FW1]ikeproposal1//創(chuàng)建IKE安全提議1，采用默認參數(shù)[FW1-ike-proposal-1]quit [FW1]ikepeerfw2 [FW1-ike-peer-fw2]exchange-modeauto//對等體信息交換模式為自動[FW1-ike-peer-fw2]pre-shared-keyhuawei@123 //設置預共享密鑰[FW1-ike-peer-fw2]ike-proposal1 //調用安全提議1[FW1-ike-peer-fw2]remote-address8//配置IKE對端地址

[FW1-ike-peer-fw2]remote-id-typeip

//對端ID類型為IP6.3.3配置IPSecVPN（四）關鍵操作步驟防火墻FW1配置IPSEC安全策略：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應用安全策略[FW1]ipsecproposal1//配置IPsec安全提議[FW1-ipsec-proposal-1]encapsulation-modeauto//隧道模式為自動[FW1-ipsec-proposal-1]quit [FW1]ipsecpolicyipsecvpn1isakmp//配置IPsec安全策略，名稱為ipsecvpn[FW1-ipsec-policy-isakmp-ipsecvpn-1]securityacl3000 //關聯(lián)VPN流量[FW1-ipsec-policy-isakmp-ipsecvpn-1]ike-peerfw2 //指定對端設備[FW1-ipsec-policy-isakmp-ipsecvpn-1]proposal1//調用IPsec安全提議1，采用默認參數(shù)6.3.3配置IPSecVPN（四）關鍵操作步驟防火墻FW1接口應用IPsec安全策略：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應用安全策略[FW1]intg1/0/6

[FW1-GigabitEthernet1/0/6]ipsecpolicyipsecvpn6.3.3配置IPSecVPN

防火墻FW2

WEB界面配置：（四）關鍵操作步驟6.3.3配置IPSecVPN（四）關鍵操作步驟測試結果1.FW2查看IPsecVPN監(jiān)控信息：6.3.3配置IPSecVPN（四）關鍵操作步驟測試結果2.分支用戶訪問總部OA服務器：6.3.3配置IPSecVPN注意事項實際環(huán)境中，出口設備需要配置NAT來實現(xiàn)內網(wǎng)用戶訪問互聯(lián)網(wǎng)。為保證VPN流量的正常轉發(fā)，在制定NAT策略的時候注意規(guī)避VPN流量(destination-address-exclude)。本例中IKE安全提議和IPsec安全提議均采用系統(tǒng)默認參數(shù)?？勺孕卸x，需要注意兩端的一致性。6.3.4配置SSLVPN實訓：SSLVPN配置某公司因業(yè)務需要，允許出差員工及合作伙伴訪問內網(wǎng)服務器，同時希望能保證數(shù)據(jù)傳輸?shù)陌踩?，避免信息泄露。通過在防火墻配置SSLVPN，實現(xiàn)上述通信要求。任務描述6.3.4配置SSLVPN(三)任務實施1．拓撲圖2．需求說明總部和遠程用戶均可訪問Internet?？偛烤W(wǎng)絡部署SSL網(wǎng)關，允許遠程用戶以合法身份訪問總部服務器。FW1ServerG1/0/154/24總部0/28G1/0/6客戶端/24/24SSLVPN隧道6.3.4配置SSLVPN3．配置說明(三)任務實施使用路由器模擬運營商，充當總部、遠程用戶的網(wǎng)關；配置防火墻各接口的IP地址、安全區(qū)域等基礎信息；配置防火墻安全策略和配置源NAT策略；配置SSLVPN虛擬網(wǎng)關；配置SSL網(wǎng)關的網(wǎng)絡擴展功能；配置授權訪問的用戶信息；通信測試。6.3.4配置SSLVPN（四）關鍵操作步驟配置SSLVPN網(wǎng)關

配置網(wǎng)絡擴展功能

配置授權用戶防火墻FW1配置SSLVPN虛擬網(wǎng)關：[FW1]v-gatewaySSL_VPNinterfaceg1/0/6port4430private

//網(wǎng)關地址關聯(lián)g1/0/6，端口為4430防火墻FW1SSLVPN列表：6.3.4配置SSLVPN（四）關鍵操作步驟配置SSLVPN網(wǎng)關

配置網(wǎng)絡擴展功能

配置授權用戶防火墻FW1WEB配置網(wǎng)絡擴展功能：6.3.4配置SSLVPN（四）關鍵操作步驟配置SSLVPN網(wǎng)關

配置網(wǎng)絡擴展功能

配置授權用戶防火墻FW1WEB配置授權用戶：6.3.4配置SSLVPN（四）關鍵操作步驟配置SSLVPN網(wǎng)關

配置網(wǎng)絡擴展功能

配置授權用戶防火墻FW1WEB配置授權用戶：6.3.4配置SSLVPN（四）關鍵操作步驟測試結果1.客戶端使用SecoClient工具連接SSLVPN網(wǎng)關：6.3.4配置SSLVPN（四）關鍵操作步驟測試結果2.客戶端使用瀏覽器連接SSLVPN網(wǎng)關：6.3.4配置SSLVPN（四）關鍵操作步驟測試結果3.通信測試：6.3.4配置SSLVPN注意事項因版本原因，默認在WEB界面下無法創(chuàng)建SSLVPN虛擬網(wǎng)關，需先在CLI下創(chuàng)建，然后WEB配置界面刷新顯示。6.3.5配置GREoverIPsecVPN實訓：GREoverIPsecVPN配置某公司網(wǎng)絡由總、分支構成，因業(yè)務需要，兩端需要傳輸多種協(xié)議類型的數(shù)據(jù)報文。公司希望利用公共互聯(lián)網(wǎng)傳輸，并要保證數(shù)據(jù)的安全性。通過在防火墻配置GREoverIPsecVPN，實現(xiàn)上述通信要求。任務描述6.3.5配置GREoverIPsecVPN(三)任務實施1．拓撲圖2．需求說明總部和分支均可訪問Internet?？偛亢头种C構建立GREoverIPsecVPN，實現(xiàn)兩端網(wǎng)絡之間多種數(shù)據(jù)報文的可靠傳輸。分支FW1PC1G1/0/154/248/30G1/0/6總部PC20/28G1/0/6FW2G1/0/154/24/24/24GREoverIPsecVPN6.3.5配置GREoverIPsecVPN3．配置說明(三)任務實施使用路由器模擬運營商，充當總部、分支機構的網(wǎng)關；配置防火墻各接口的IP地址、安全區(qū)域等基礎信息；配置防火墻安全策略和配置源NAT策略；配置GRE接口參數(shù)；配置IPsec安全策略及加密數(shù)據(jù)流；配置隧道靜態(tài)路由；通信測試。6.3.5配置GREoverIPsecVPN防火墻FW1配置GRE接口參數(shù)：

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由防火墻FW2配置GRE接口參數(shù)：（四）關鍵操作步驟6.3.5配置GREoverIPsecVPN防火墻FW1配置IPsec安全策略：防火墻FW2配置IPsec安全策略：

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由（四）關鍵操作步驟6.3.5配置GREoverIPsecVPN

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由（四）關鍵操作步驟

防火墻FW1配置加密數(shù)據(jù)流：防火墻FW2配置加密數(shù)據(jù)流：6.3.5配置GREoverIPsecVPN

防火墻FW1配置隧道靜態(tài)路由：防火墻FW2配置隧道靜態(tài)路由：

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由（四）關鍵操作步驟6.3.5配置GREoverIPsecVPN（四）關鍵操作步驟測試結果1.FW1查看IPsecVPN監(jiān)控信息：2.FW2查看IPsecVPN監(jiān)控信息：6.3.5配置GREoverIPsecVPN（四）關鍵操作步驟測試結果3.分支用戶訪問總部：6.3.5配置GREoverIPsecVPN注意事項GREoverIPsecVPN在設置加密流量的時候，使用兩端出口公網(wǎng)地址，協(xié)議為GRE。而不再是內網(wǎng)地址。隧道建立后，兩端網(wǎng)絡之間的互訪通過配置隧道靜態(tài)路由來確定。6.3.6配置L2TPoverIPsecVPN實訓：L2TPoverIPsecVPN配置某公司因業(yè)務需要，需派遣員工前往異地出差。為方便辦公，出差員工希望在異地也能夠訪問總部內網(wǎng)，同時要保證數(shù)據(jù)傳輸?shù)陌踩?，通過在防火墻配置L2TPoverIPsecVPN，實現(xiàn)上述通信要求。任務描述6.3.6配置L2TPoverIPsecVPN(三)任務實施1