基于策略的拨号VPN带XAUTH

NS防火墙上的VPN配置步骤（基于策略的拨号VPN带XAUTH）WebUI1.接口NetworkInterfacesEdit(对于ethernet1):输入以下内容，然后单击Apply:ZoneName:TrustStaticIP:(出现时选择此选项)IPAddress/Netmask:192.168.50.9/29选择以下内容，然后单击OK:InterfaceMode:NATNetworkInterfacesEdit(对于ethernet3):输入以下内容，然后单击OK:ZoneName:UntrustStaticIP:(出现时选择此选项)IPAddress/Netmask:218.204.x.x/29InterfaceMode:route图略2地址池：objectIPPool，输入IPPOOL的名字和相应地址，然后OK3用户：ObjectsUsersLocalNew:输入以下内容，然后单击OK:UserName:gmcctest（该用户名为xauth认证的用户名）Status:EnableIKEUser:(选择)SimpleIdentity:(选择)IKEIdentity:gmcc@chinamobile.comXAuthUser:(选择)UserPassword:gmcc（密码为xauth认证的密码）ConfirmPassword:gmccIPPool:test2(选择先前建立的POOL的名字)4用户组：ObjectsUsersLocalGroupsNew:给新建的组起个名字，将新建的用户从Availiable（右）移动到Group（左），然后OK。若是在原有组中添加新用户，可以在LocalGroups列表中选择相应的组点击Edit。5VPNVPNsAutoKeyIKENew:然后参考下图输入，name和presharedkey可以自由输入，presharedkey至少8位（最好可以事先规划好，特别是presharedkey是密文显示，不能敲错；客户端的presharedkey要和防火墙一致）。Outinterface是VPN流量进来的接口，通常是防火墙的外网接口。然后点击advanced，参照以下输入，再reture后OKXauth设置：VPNsAutoKeyAdvancedGatewayedit（对于刚才建立的VPN网关）参照以下输入，然后APPLY后OK。6路由:networkroutingdestination根据需要做相应路由（新增路由点击new）7策略设置策略前，先确VPN要建立在那2个ZONE间，通常是untrust到trust或untrust到DMZ。然后在策略列表对应ZONE然后NEW：本例是fromuntrusttotrust参考下图输入，destinationaddress是vpn建立成功后需要访问的网段，可以直接在newaddress中输入。然后电击OK8客户端设置首先应该安装netscreen-remote客户端软件，安装完成后导入管理员下发的Policy文件即可使用。对于管理员需要预先设置好客户端Policy文件。方法如下：1）运行netscreen-remote软件，双击屏幕右下脚的netscreen-remote图表，打开policy编辑器；点击editaddconnection参照下图输入：2）MYIdentity设置：3）securitypolicy设置，参考下面3个图保存上述设置filesave，策略可以导出用于备份或下发其他用户；Fileexport,导出的policy文件可以锁定。其余用户从管理员那里拿到policy文件后，导入即可使用fileimport4）运行拨号。输入Xauth认证的用户名和密码连接成功：右下脚netscreen-remote图标变成锁状，并出现一个新的虚拟连接网卡5）客户端日志功能：如下图，可以查看客户端的日志，包括VPN连接的全部信息，成功或不成功都会有记录，用于排错。在NS防火墙上也会出现相应的日志：reportssystemlogevent，无论VPN连接是否成功都会有记录，用于排错。