Bandwidth Management - PDF Free Download

第十一章 V P N 本 NUS-MS300 採 VPN 方式建立安全與私密的網路通訊服務, 結合遠端用戶認證辨識系統, 以整合企業的各個遠地網路與全球外勤人員遠地個人電腦, 提供公司企業與遠端使用者一個安全便利的網路加密方式, 讓企業在網際網路上傳遞資料時, 得到最佳的效能及保密效果, 更節省管理者管理太多鑰匙的麻煩 IPSec Autokey : 系統管理員可於此單元以加密功能建立連線兩端以固定標準方式交換網路加密鑰匙碼, 並設定 IPSec Lifetime( 加密鑰匙更新週期 ), 啟動 NUS-MS300 系統自動隨機選取更新無法被判讀入侵的加密鑰匙碼 PPTP 伺服器 : 系統管理員可於此單元建立 VPN-PPTP 伺服器的相關功能設定 PPTP 用戶端 : 系統管理員可於此單元建立 VPN-PPTP 用戶端的相關功能設定通道 : 系統管理員可於此單元設置要套用至管制條例的 VPN 相關功能設定如何運用網路驗證建立虛擬私有網路驗證 Virtual Private Network (VPN), 需先將 IPSec Autokey PPTP 伺服器或 PPTP 用戶端的連線設定套用到通道功能中, 並將要彼此連線溝通的 VPN 通道條例套用至設有相關管制規則的管制條例中, 即可為連線兩端建立安全保密的網路通訊 1

VPN 專有名詞解釋 : RSA 說明如下 : 為非對稱性密碼系統, 使用者擁有兩把金鑰, 一個為秘密金鑰, 使用者須秘密收藏, 為連線解密時用, 另一個為公開金鑰, 將任何欲傳送訊息者皆可自認証中心取得, 並使用此金鑰將訊息加密傳送給接收者 Preshared Key 說明如下 : 當 VPN 雙方進行連線時用來進行 IPSec 驗證用的專用的 Key. ISAKMP 說明如下 : IP Security Association Key Management Protocol (ISAKMP) 就是提供一種方法供兩台電腦建立安全性關聯 (SA) SA(Security Association) 對兩台電腦之間進行連線編碼, 指定使用哪些演算法和什麼樣的金鑰長度或實際加密金鑰事實上 SA 不止一個連線方式 : 從兩台電腦 ISAKMP SA 作為起點, 必須指定使用何種加密演算法 (DES triple DES 40 位元 DES 或根本不用 ) 使用何種認證 Main mode 說明如下 : 在 VPN 第一階段的 IKE 開始連線時, 會提供兩種模式選擇, 其中的一種模式就是 Main mode, 會對資料交換的雙方先進行認證,Main mode 會提供六個訊息在雙方之間進行傳遞來達到認證的需求, 確保與自己交流資料是對方本人, 而不是偽造的 2

Aggressive mode 說明如下 : 在 VPN 第一階段的 IKE 開始連線時, 另一種認證模式就是 Aggressive mode, 會對資料交換的雙方先進行認證,Aggressive mode 則僅會提供三個訊息在雙方之間進行傳遞來達到認證的需求, 確保與自己交流資料是對方本人, 而不是偽造的 AH ( Authentication Header ) 說明如下 : 提供 VPN 連線時的認證及選擇性的認證檢測 ESP 說明如下 : ( Encapsulated Security Payload ) 提供 VPN 連線時的認證及認證檢測並對傳送中的資料提供了機密和保護 DES 說明如下 : 資料加密標準 (Data Encryption Standard) 是一種 NIST 標準安全加密金鑰方法, 使用的加密金鑰爲 56 位元 3DES 說明如下 : 提供比 DES 更加安全的三重資料加密標準 (Triple Data Encryption Standard,3DES) 安全加密金鑰方法, 使用的加密金鑰爲 168 位元 AES 說明如下 : 為高階加密模式其標準比 DES 的加密標準更加嚴謹,DES 加密金鑰長度為 56 位元,AES 加密金鑰長度則高達 128 位元 192 位元以及 256 位元 3

NULL 演算法說明如下 : 是一種快速又便利的連線模式來取代確保其機密性或負責身份驗證而不進行加密的動作 NULL 演算法不提供機密性也沒有提供其他任何安全服務, 僅僅是一條快速方便去替換在使用 ESP 加密時的選項 SHA1 安全雜湊演算法 (Secure Hash Algorithm,SHA) 說明如下 : 是用於產生訊息摘要或雜湊的演算法原有的 SHA 演算法已被改良式的 SHA1 演算法取代可以計算出 160 位元的演算 MD5 雜湊演算法說明如下 : 一種單向字串雜湊演算, 其演算方式是將你給予任何長度字串, 使用 MD5 雜湊演算法, 可以計算出一個長度為 128 位元的演算 GRE 通用路由協定封裝說明如下 : GRE 只提供了資料包的封裝, 它沒有防止網路偵聽和攻擊的加密功能所以在實際環境中它常和 IPsec 一起使用, 由 IPsec 爲用戶資料的加密, 給用戶提供更好的安全服務 4

IPSec Autokey 視窗表格內圖示與名詞名稱定義 : i 說明如下 : 以圖示顯示 VPN 連線建立的狀況圖例 -- 代表涵義條例未被套用斷線連線名稱說明如下 : 定義 IPSec AutoKey 名稱此名稱必須是唯一且不可重複閘道 IP 位址說明如下 : 目的端網路介面位址 IPSec 演算法說明如下 : 顯示目前 VPN 連線的資料加密模式變更說明如下 : 變更 IPSec VPN 中各項設定值點選修改, 可修改自動加密之各項參數 ; 點選刪除, 可刪除該項設定 ( 如圖 11-1) 圖 11-1 IPSec Autokey 視窗表格 5

PPTP 伺服器視窗表格內圖示與名詞名稱定義 : PPTP 伺服器說明如下 : 可設定開啟或關閉用戶端 IP 範圍說明如下 : 可設定 PPTP 用戶端連入分配的網路位址範圍 i 說明如下 : 以圖示顯示 VPN 連線建立的狀況圖例 -- 代表涵義條例未被套用斷線連線使用者名稱說明如下 : PPTP 用戶端連入時所使用的名稱用戶端 IP 位址說明如下 : PPTP 用戶端連入 PPTP 伺服器時, 所使用的用戶端網路位址連線歷時說明如下 : 顯示目前 PPTP 用戶端與 PPTP 伺服器連線時間設定說明如下 : 變更 PPTP VPN Server 中各項設定值點選修改, 可修改 PPTP 伺服器之各項參數 ; 點選刪除, 可刪除該項設定 ( 如圖 11-2) 圖 11-2 PPTP 伺服器視窗表格 6

PPTP 用戶端視窗表格內圖示與名詞名稱定義 : i 說明如下 : 以圖示顯示 VPN 連線建立的狀況圖例 -- 代表涵義條例未被套用斷線連線使用者名稱說明如下 : PPTP 用戶端連入 PPTP 伺服器時所使用的名稱伺服器 IP 位址或網域名稱說明如下 : PPTP 用戶端連入 PPTP 伺服器的網路 IP 位址或網域名稱加密認證說明如下 : 顯示目前 PPTP 用戶端與 PPTP 伺服器的連線傳輸, 是否開啟加密認證機制連線歷時說明如下 : 顯示目前 PPTP 用戶端與 PPTP 伺服器連線時間設定說明如下 : 變更 PPTP VPN Client 中各項設定值點選修改, 可修改 PPTP 用戶端之各項參數 ; 點選刪除, 可刪除該項設定 ( 如圖 11-3) 圖 11-3 PPTP 用戶端視窗表格 7

通道視窗表格內圖示與名詞名稱定義 : i 說明如下 : 以圖示顯示 VPN 通道連線建立的狀況圖例 -- 代表涵義條例未被啟動斷線連線名稱說明如下 : 定義 VPN 通道名稱此名稱必須是唯一且不可重複來源子網路說明如下 : 來源端子網路位址目的端子網路說明如下 : 目的端子網路位址 IPSec / PPTP 說明如下 : 顯示 VPN 通道所包含的虛擬私有網路 (VPN) 驗證通道 (IPSec PPTP Server PPTP Client) 變更說明如下 : 變更 VPN 通道中各項設定值點選修改, 可修改自動加密之各項參數 ; 點選刪除, 可刪除該項設定 ( 如圖 11-4) 圖 11-4 VPN 通道視窗表格 8

我們在此範例設定中, 總共架設了 6 種 VPN 環境編碼適用範圍範例環境頁碼範例 1 IPSec Autokey 使用兩台 NUS-MS300 建立的 IPSec VPN 連線, 存取 160 特定網段的資源範例 2 IPSec Autokey 使用一台 NUS-MS300 與 Windows 2000 設定 IPSec 177 VPN 連線的方法範例 3 IPSec Autokey 使用兩台 NUS-MS300 設定 IPSec VPN 連線的方法 236 ( 連線使用 Aggressive mode) ( 資料使用 IPSec 演算 3DES 加密.MD5 認證 ) 範例 4 IPSec Autokey 使用兩台 NUS-MS300 設定 IPSec VPN 連線的方法 253 ( 使用 ISAKMP 演算法 3DES 加密.MD5 認證 ) ( 資料使用 IPSec 演算 3DES 加密.MD5 認證 ) ( 使用 GRE 封包封裝 ) 範例 5 PPTP 使用兩台 NUS-MS300 設定 PPTP VPN 連線的方法 275 範例 6 PPTP 使用一台 NUS-MS300 與 Windows 2000 設定 PPTP 291 VPN 連線的方法 9

範例 1 使用兩台 NUS-MS300 建立的 IPSec VPN 連線, 存取特定網段的資源先前作業甲公司 WAN IP 為 61.11.11.11 LAN IP 為 192.168.10.X 乙公司 WAN IP 為 211.22.22.22 LAN IP 為 192.168.20.X Multiple Subnet 為 192.168.85.X 本範例以兩台 NUS-MS300 作為平台操作假設甲公司 192.168.10.100 要向乙公司 192.168.85.100 做虛擬私有網路連線並下載其分享檔案甲公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.10.1, 以下為其設定步驟 : 步驟 1. 進入甲公司 NUS-MS300 預設位址 192.168.10.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-5) 圖 11-5 IPSec Autokey 視窗 10

範例 1 步驟 2. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_A ( 如圖 11-6) 圖 11-6 IPSec VPN 連線名稱設定表單步驟 3. 於到目的位址表單中, 選擇遠端閘道 - 固定 IP, 填寫所要連線乙公司的遠端 IP 位址 ( 如圖 11-7) 圖 11-7 IPSec 到目的位址設定表單步驟 4. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 位元 ) ( 如圖 11-8) 圖 11-8 IPSec 認證方法設定表單 11

範例 1 步驟 5. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 MD5 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 1 來進行連線 ( 如圖 11-9) 圖 11-9 IPSec 加密或認證設定表單步驟 6. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-10) 圖 11-10 IPSec 演算法設定表單 12

範例 1 步驟 7. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒, 使用模式選擇 Main mode ( 如圖 11-11) 圖 11-11 IPSec 進階加密設定表單步驟 8. 完成 IPSec Autokey 設定 ( 如圖 11-12) 圖 11-12 IPSec Autokey 設定完成畫面 13

範例 1 步驟 9. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-13) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 乙公司 ) 內部網路位址 192.168.85.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 VPN_A 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-14) 圖 11-13 新增 VPN 通道設定畫面圖 11-14 完成新增 VPN 通道設定畫面 14

範例 1 步驟 10. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-15) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-16) 圖 11-15 設定含有 VPN 通道的內部至外部管制條例圖 11-16 完成 VPN 通道內部至外部管制條例的設定 15

範例 1 步驟 11. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-17) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-18) 圖 11-17 設定含有 VPN 通道的外部至內部管制條例圖 11-18 完成 VPN 通道外部至內部管制條例的設定 16

範例 1 乙公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.20.1, 以下為其設定步驟 : 步驟 1. 於系統管理組態的 Multiple Subnet 功能中, 新增下列設定 : ( 如圖 11-19) 圖 11-19 Multiple Subnet WebUI 設定畫面步驟 2. 進入乙公司 NUS-MS300 預設位址 192.168.20.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-20) 圖 11-20 IPSec Autokey 視窗 17

範例 1 步驟 2. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_B ( 如圖 11-21) 圖 11-21 IPSec VPN 連線名稱設定表單步驟 3. 於到目的位址表單中, 選擇遠端閘道 - 固定 IP, 填寫所要連線甲公司的遠端 IP 位址 ( 如圖 11-22) 圖 11-22 IPSec 到目的位址設定表單步驟 4. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 字元 ) ( 如圖 11-23) 圖 11-23 IPSec 認證方法設定表單 18

範例 1 步驟 5. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 MD5 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 1 來進行連線 ( 如圖 11-24) 圖 11-24 IPSec 加密或認證設定表單步驟 6. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-25) 圖 11-25 IPSec 演算法設定表單 19

範例 1 步驟 7. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒, 使用模式選擇 Main mode ( 如圖 11-26) 圖 11-26 IPSec 進階加密設定表單步驟 8. 完成 IPSec Autokey 設定 ( 如圖 11-27) 圖 11-27 IPSec Autokey 設定完成畫面 20

範例 1 步驟 9. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-28) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 乙公司 ) 內部網路位址 192.168.85.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 VPN_B 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-29) 圖 11-28 新增 VPN 通道設定畫面圖 11-29 完成新增 VPN 通道設定畫面 21

範例 1 步驟 10. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-30) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-31) 圖 11-30 設定含有 VPN 通道的內部至外部管制條例圖 11-31 完成 VPN 通道內部至外部管制條例的設定 22

範例 1 步驟 11. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-32) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-33) 圖 11-32 設定含有 VPN 通道的外部至內部管制條例圖 11-33 完成 VPN 通道外部至內部管制條例的設定 23

範例 1 步驟 12. 完成 IPSec VPN 連線 ( 如圖 11-34) 圖 11-34 IPSec VPN 連線之架設環境 24

範例 2 使用一台 NUS-MS300 與 Windows 2000 設定 IPSec VPN 連線的方法先前作業甲公司使用 NUS-MS300 WAN IP 為 61.11.11.11 LAN IP 為 192.168.10.X 乙公司使用 Windows2000 之單一 PC WAN IP 為 211.22.22.22 本範例以一台 NUS-MS300 及 Windows 2000 VPN-IPsec 作為平台操作假設乙公司 211.22.22.22 要向甲公司 192.168.10.100 做虛擬私有網路連線並下載其分享檔案甲公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.10.1, 以下為其設定步驟 : 步驟 1. 進入甲公司 NUS-MS300 預設位址 192.168.10.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-35) 圖 11-35 IPSec Autokey 視窗 25

範例 2 步驟 1. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_A ( 如圖 11-36) 圖 11-36 IPSec VPN 連線名稱和使用的外網路介面設定表單步驟 2. 於到目的位址表單中, 選擇遠端閘道或用戶端動態 IP ( 如圖 11-37) 圖 11-37 IPSec 到目的位址設定表單步驟 3. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 位元 ) ( 如圖 11-38) 圖 11-38 IPSec 認證方法設定表單 26

範例 2 步驟 4. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 MD5 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 2 來進行連線 ( 如圖 11-39) 圖 11-39 IPSec 加密或認證設定表單步驟 5. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-40) 圖 11-40 IPSec 演算法設定表單 27

範例 2 步驟 6. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒, 使用模式選擇 Main mode ( 如圖 11-41) 圖 11-41 IPSec 進階加密設定表單步驟 7. 完成 IPSec Autokey 設定 ( 如圖 11-42) 圖 11-42 IPSec Autokey 設定完成畫面 28

範例 2 步驟 8. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-43) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 到目的位址選擇遠端用戶端 IPSec / PPTP 設定選擇名稱為 VPN_A 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-44) 圖 11-43 新增 VPN 通道設定畫面圖 11-44 完成新增 VPN 通道設定畫面 29

範例 2 步驟 9. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-45) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-46) 圖 11-45 設定含有 VPN 通道的內部至外部管制條例圖 11-46 完成 VPN 通道內部至外部管制條例的設定 30

範例 2 步驟 10. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-47) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-48) 圖 11-47 設定含有 VPN 通道的外部至內部管制條例圖 11-48 完成 VPN 通道外部至內部管制條例的設定 31

範例 2 乙公司的 PC 使用實體 IP(211.22.22.22), 以下為其設定步驟 : 步驟 1. 進入 Windows 2000 點選開始, 選擇執行功能 ( 如圖 11-49) 圖 11-49 開始 Windows 2000 IPSec VPN 設定 32

範例 2 步驟 2. 在執行視窗內的開啟欄位內輸入指令 mmc ( 如圖 11-50) 圖 11-50 啟動 Windows 2000 IPSec VPN 設定步驟 3. 進入主控台 1 視窗時, 點選主控台 ( C ) 選項, 並選擇新增 / 移除嵌入式管理單元功能 ( 如圖 11-51) 圖 11-51 新增 / 移除嵌入式管理單元 33

範例 2 步驟 4. 於新增 / 移除嵌入式管理單元視窗中, 按下新增鈕, 並在新增獨立嵌入式管理單元視窗中, 新增 IP 安全性原則管理單元 ( 如圖 11-52) 圖 11-52 新增 IP 安全性原則管理 34

範例 2 步驟 5. 選擇本機電腦 (L), 並按下完成鈕 ( 如圖 11-53) 圖 11-53 選擇新增 IP 安全性原則管理之類型 35

範例 2 步驟 6. 完成新增的動作 ( 如圖 11-54) 圖 11-54 完成新增 IP 安全性原則管理 36

範例 2 步驟 7. 在本機電腦上的 IP 安全性原則選項上按下滑鼠右鍵, 並選擇建立 IP 安全性原則 (C) 選項 ( 如圖 11-55) 圖 11-55 建立 IP 安全性原則 37

範例 2 步驟 8. 點選下一步 ( 如圖 11-56) 圖 11-56 開啟 IP 安全性原則精靈 38

範例 2 步驟 9. 填入 VPN 連線所使用的名稱及描述, 並按下一步鈕 ( 如圖 11-57) 圖 11-57 設定 VPN 連線名稱和描述 39

範例 2 步驟 10. 請取消使用啟動預設的回應規則, 並按下一步鈕 ( 如圖 11-58) 圖 11-58 取消啟動預設的回應規則 40

範例 2 步驟 11. 於 IP 安全性原則精靈視窗中, 選擇編輯內容選項, 並按下完成鈕 ( 如圖 11-59) 圖 11-59 完成 IP 安全性原則精靈設定 41

範例 2 步驟 12. 於 VPN_B 內容視窗中, 請勿勾選使用新增精靈功能, 並按下新增鈕 ( 如圖 11-60) 圖 11-60 VPN_B 內容視窗 42

範例 2 步驟 13. 於新增規則內容視窗中, 按下新增鈕 ( 如圖 11-61) 圖 11-61 新增 IP 篩選器清單 43

範例 2 步驟 14. 在 IP 篩選器清單視窗中, 請勿勾選使用新增精靈功能, 更改名稱為 VPN_B WAN TO LAN, 並按下新增鈕 ( 如圖 11-62) 圖 11-62 IP 篩選清單視窗 44

範例 2 步驟 15. 於篩選器內容視窗中, 請於來源位址的下拉式選單中點選特定 IP 位址, 並輸入乙公司的外部網路 IP 211.22.22.22 子網路遮罩 255.255.255.255, 請於目的地位址的下拉式選單中點選特定 IP 子網路, 並輸入甲公司的內部網路 192.168.10.0 子網路遮罩 255.255.255.0, 請勿勾選已鏡像處理也對映完全相反的來源及目的位址的封包功能 ( 如圖 11-63) 圖 11-63 篩選器內容視窗 45

範例 2 步驟 16. 完成設定, 並關閉 IP 篩選器清單視窗 ( 如圖 11-64) 圖 11-64 完成 IP 篩選器設定 46

範例 2 步驟 17. 於新增規則內容的篩選器動作視窗中, 選擇需要安全性功能, 並按下編輯鈕 ( 如圖 11-65) 圖 11-65 篩選器動作設定 47

範例 2 步驟 18. 於需要安全性內容視窗中, 勾選工作階段辨識碼完整轉寄密碼功能 ( 如圖 11-66) 圖 11-66 選取工作階段辨識完整轉寄密碼 48

範例 2 步驟 19. 請選擇自定 / 無 / 3DES / MD5 安全性方法, 並按下編輯鈕 ( 如圖 11-67) 圖 11-67 編輯安全性方法 49

範例 2 步驟 20. 點選自定 ( 提供給專業使用者 ) 選項, 並按下設定鈕 ( 如圖 11-68) 圖 11-68 自訂安全性方法 50

範例 2 步驟 21. 請勾取資料完整性及加密 (ESP), 分別選擇整合演算法為 MD5 和加密演算法為 3DES, 勾選產生新金鑰間隔, 並輸入 28800 秒然後按 3 次確定回到新增規則內容視窗 ( 如圖 11-69) 圖 11-69 設定自訂安全性方法 51

範例 2 步驟 22. 於新增規則內容的連線類型視窗中, 選擇所有網路連線 ( 如圖 11-70) 圖 11-70 連線類型設定 52

範例 2 步驟 23. 於新增規則內容的通道設定視窗中, 選擇由這個 IP 位址來指定通道的結束點, 並輸入甲公司 WAN 的 IP 位址 61.11.11.11 ( 如圖 11-71) 圖 11-71 通道設定視窗 53

範例 2 步驟 24. 於新增規則內容的驗證方法視窗中, 按下編輯鈕 ( 如圖 11-72) 圖 11-72 驗證方法設定視窗 54

範例 2 步驟 25. 點選使用這個字串來保護金鑰間的交換選項, 並輸入雙方所要連線的金鑰 123456789 ( 如圖 11-73) 圖 11-73 設定 VPN 連線金鑰 55

範例 2 步驟 26. 套用設定, 並關閉設定視窗 ( 如圖 11-74) 圖 11-74 完成驗證方法設定 56

範例 2 步驟 27. 完成 VPN_B WAN TO LAN 規則所有設定 ( 如圖 11-75) 圖 11-75 完成 VPN_B WAN TO LAN 規則設定 57

範例 2 步驟 28. 請再次進入 VPN_B 內容視窗, 請勿勾選使用新增精靈功能, 並按下新增鈕, 以新增第二條 IP 安全性規則 ( 如圖 11-76) 圖 11-76 VPN_B 內容視窗 58

範例 2 步驟 29. 於新增規則內容視窗中, 按下新增鈕 ( 如圖 11-77) 圖 11-77 新增規則內容視窗 59

範例 2 步驟 30. 於 IP 篩選器清單視窗中, 請勿勾選使用新增精靈功能, 更改名稱為 VPN_B LAN TO WAN, 並按下新增鈕 ( 如圖 11-78) 圖 11-78 IP 篩選清單視窗 60

範例 2 步驟 31. 於篩選器內容視窗中, 請於來源位址的下拉式選單中點選特定 IP 子網路, 並輸入甲公司的內部網路 192.168.10.0 子網路遮罩 255.255.255.0, 請於目的地位址的下拉式選單中點選特定 IP 位址, 並輸入乙公司的外部網路 IP 211.22.22.22 子網路遮罩 255.255.255.255, 請勿勾選已鏡化處理也對映完全相反的來源及目的位址的封包功能 ( 如圖 11-79) 圖 11-79 篩選內容視窗 61

範例 2 步驟 32. 完成設定, 並關閉 IP 篩選器清單 ( 如圖 11-80) 圖 11-80 完成 IP 篩選器清單設定 62

範例 2 步驟 33. 於新增規則內容的篩選器動作視窗中, 選擇需要安全性功能, 並按下編輯鈕 ( 如圖 11-81) 圖 11-81 篩選器動作視窗 63

範例 2 步驟 34. 於需要安全性內容視窗中, 勾選工作階段辨識碼完整轉寄密碼功能 ( 如圖 11-82) 圖 11-82 選擇工作階段辨識碼完整轉寄密碼功能 64

範例 2 步驟 35. 請選擇自定 / 無 / 3DES / MD5 安全性方法, 並按下編輯鈕 ( 如圖 11-83) 圖 11-83 設定安全性方法 65

範例 2 步驟 36. 點選自定 ( 提供給專業使用者 ) 選項, 並按下設定鈕 ( 如圖 11-84) 圖 11-84 自訂安全性方法 66

範例 2 步驟 37. 請勾取資料完整性及加密 (ESP), 分別選擇整合演算法為 MD5 和加密演算法為 3DES, 勾選產生新金鑰間隔, 並輸入 28800 秒然後按 3 次確定回到新增規則內容視窗 ( 如圖 11-85) 圖 11-85 完成自訂安全性方法設定 67

範例 2 步驟 38. 於新增規則內容的連線類型視窗中, 選擇所有網路連線 ( 如圖 11-86) 圖 11-86 設定連線類型 68

範例 2 步驟 39. 於新增規則內容的通道設定視窗中, 選擇由這個 IP 位址來指定通道的結束點, 並輸入乙公司 WAN 的 IP 位址 211.22.22.22 ( 如圖 11-87) 圖 11-87 通道設定視窗 69

範例 2 步驟 40. 於新增規則內容的驗證方法視窗中, 按下編輯鈕 ( 如圖 11-88) 圖 11-88 驗證方法視窗 70

範例 2 步驟 41. 點選使用這個字串來保護金鑰間的交換選項, 並輸入雙方所要連線的金鑰 123456789 ( 如圖 11-89) 圖 11-89 設定 VPN 連線金鑰 71

範例 2 步驟 42. 套用設定, 並關閉設定視窗 ( 如圖 11-90) 圖 11-90 完成新規則設定 72

範例 2 步驟 43. 完成 VPN_B LAN TO WAN 規則所有設定 ( 如圖 11-91) 圖 11-91 完成 VPN_B LAN TO WAN 規則設定 73

範例 2 步驟 44. 於 VPN_B 內容的一般視窗中, 按下進階鈕 ( 如圖 11-92) 圖 11-92 VPN_B 內容之一般內容視窗 74

範例 2 步驟 45. 於勾選主要金鑰完整轉寄密碼後, 按下方法鈕 ( 如圖 11-93) 圖 11-93 金鑰交換設定視窗 75

範例 2 步驟 46. 請選擇將 IKE / 3DES / MD5 / 中 (2) 安全性方法移至最上方, 並按下確定鈕 ( 如圖 11-94) 圖 11-94 調整安全性方法順序 76

範例 2 步驟 47. 完成乙公司 Windows 2000 VPN 所有設定 ( 如圖 11-95) 圖 11-95 完成 Windows 2000 IPSec VPN 設定 77

範例 2 步驟 48. 請在 VPN_B 上點選滑鼠右鍵, 選擇將 VPN_B 指派啟動 ( 如圖 11-96) 圖 11-96 啟動 VPN_B 安全性規則 78

範例 2 步驟 49. 我們需要重新啟動 IPsec 服務, 請由開始選單, 選擇設定選項, 再選擇進入控制台 ( 如圖 11-97) 圖 11-97 進入控制台 79

範例 2 步驟 50. 於控制台視窗中, 請選擇進入系統管理工具 ( 如圖 11-98) 圖 11-98 進入系統管理工具 80

範例 2 步驟 51. 於系統管理工具視窗中, 請選擇進入服務選項 ( 如圖 11-99) 圖 11-99 進入服務選項 81

範例 2 步驟 52. 於服務視窗中, 請重新啟動 IPsec Policy Agent 服務 ( 如圖 11-100) 圖 11-100 重新啟動 IPSec Policy Agent 82

範例 2 步驟 53. 完成所有設定 ( 如圖 11-101) 圖 11-101 NUS-MS300 和 Windows 2000 建立 IPSec VPN 連線之架設環境 83

範例 3 使用兩台 NUS-MS300 設定 IPSec VPN 連線的方法 ( 連線使用 Aggressive mode 演算法 ) 先前作業甲公司 WAN IP 為 61.11.11.11 LAN IP 為 192.168.10.X 乙公司 WAN IP 為 211.22.22.22 LAN IP 為 192.168.20.X 本範例以兩台 NUS-MS300 作為平台操作假設甲公司 192.168.10.100 要向乙公司 192.168.20.100 做虛擬私有網路連線並下載其分享檔案 ( 連線使用 Aggressive mode 演算法 ) 甲公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.10.1, 以下為其設定步驟 : 步驟 1. 進入甲公司 NUS-MS300 預設位址 192.168.10.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-102) 圖 11-102 IPSec Autokey 視窗 84

範例 3 步驟 2. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_A ( 如圖 11-103) 圖 11-103 IPSec VPN 連線名稱和使用的外網路介面設定表單步驟 3. 於到目的位址表單中, 選擇遠端閘道 - 固定 IP, 填寫所要連線乙公司的遠端 IP 位址 ( 如圖 11-104) 圖 11-104 IPSec 到目的位址設定表單步驟 4. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 位元 ) ( 如圖 11-105) 圖 11-105 IPSec 認證方法設定表單 85

範例 3 步驟 5. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 SHA1 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 2 來進行連線 ( 如圖 11-106) 圖 11-106 IPSec 加密或認證設定表單步驟 6. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-107) 圖 11-107 IPSec 演算法設定表單 86

範例 3 步驟 7. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒 ( 如圖 11-108) 圖 11-108 IPSec 進階加密設定表單步驟 8. 使用模式選擇 Aggressive mode 演算法 ( 請參閱名詞解說 ) 本地 / 遠端 ID 可選擇不輸入本地 / 遠端 ID 如要輸入的話雙方需輸入不相同的 IP 位址, 例如 : 11.11.11.11 22.22.22.22 如要輸入數字或字母來提供驗證前端需加 @, 例如 : @123A @Abcd1 ( 如圖 11-109) 圖 11-109 IPSec Aggressive mode 設定表單步驟 9. 完成 IPSec Autokey 設定 ( 如圖 11-110) 圖 11-110 IPSec Autokey 設定完成畫面 87

範例 3 步驟 10. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-111) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 乙公司 ) 內部網路位址 192.168.20.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 VPN_A 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-112) 圖 11-111 新增 VPN 通道設定畫面圖 11-112 完成新增 VPN 通道設定畫面 88

範例 3 步驟 11. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-113) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-114) 圖 11-113 設定含有 VPN 通道的內部至外部管制條例圖 11-114 完成 VPN 通道內部至外部管制條例的設定 89

範例 3 步驟 12. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-115) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-116) 圖 11-115 設定含有 VPN 通道的外部至內部管制條例圖 11-116 完成 VPN 通道外部至內部管制條例的設定 90

範例 3 乙公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.20.1, 以下為其設定步驟 : 步驟 1. 進入乙公司 NUS-MS300 預設位址 192.168.20.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-117) 圖 11-117 IPSec Autokey 視窗步驟 2. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_B ( 如圖 11-118) 圖 11-118 IPSec VPN 連線名稱和使用的外網路介面設定表單 91

範例 3 步驟 3. 於到目的位址表單中, 選擇遠端閘道 - 固定 IP, 填寫所要連線甲公司的遠端 IP 位址 ( 如圖 11-119) 圖 11-119 IPSec 到目的位址設定表單步驟 4. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 位元 ) ( 如圖 11-120) 圖 11-120 IPSec 認證方法設定表單步驟 5. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 SHA1 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 2 來進行連線 ( 如圖 11-121) 圖 11-121 IPSec 加密或認證設定表單 92

範例 3 步驟 6. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-122) 圖 11-122 IPSec 演算法設定表單步驟 7. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒 ( 如圖 11-123) 圖 11-123 IPSec 進階加密設定表單步驟 8. 使用模式選擇 Aggressive mode 演算法 ( 請參閱名詞解說 ) 本地 / 遠端 ID 可選擇不輸入本地 / 遠端 ID 如要輸入的話雙方需輸入不相同的 IP 位址, 例如 : 11.11.11.11 22.22.22.22 如要輸入數字或字母來提供驗證前端需加 @, 例如 : @123A @Abcd1 ( 如圖 11-124) 圖 11-124 IPSec Aggressive mode 設定表單 93

範例 3 步驟 9. 完成 IPSec Autokey 設定 ( 如圖 11-125) 圖 11-125 IPSec Autokey 設定完成畫面 94

範例 3 步驟 10. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-126) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 乙公司 ) 內部網路位址 192.168.20.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 VPN_B 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-127) 圖 11-126 新增 VPN 通道設定畫面圖 11-127 完成新增 VPN 通道設定畫面 95

範例 3 步驟 11. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-128) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-129) 圖 11-128 設定含有 VPN 通道的內部至外部管制條例圖 11-129 完成 VPN 通道內部至外部管制條例的設定 96

範例 3 步驟 12. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-130) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-131) 圖 11-130 設定含有 VPN 通道的外部至內部管制條例圖 11-131 完成 VPN 通道外部至內部管制條例的設定 97

範例 3 步驟 13. 完成 IPSec VPN Aggressive mode 連線 ( 如圖 11-132) 圖 11-132 IPSec VPN 連線 Aggressive mode 之架設環境 98

範例 4 使用兩台 NUS-MS300 設定 IPSec VPN 連線的方法 ( 連線使用 GRE/IPSec 封包封裝演算法 ) 先前作業甲公司 WAN1 IP 為 61.11.11.11 WAN2 IP 為 61.22.22.22 LAN IP 為 192.168.10.X 乙公司 WAN1 IP 為 211.22.22.22 WAN2 IP 為 211.33.33.33 LAN IP 為 192.168.20.X 本範例以兩台 NUS-MS300 作為平台操作假設甲公司 192.168.10.100 要向乙公司 192.168.20.100 做虛擬私有網路連線並下載其分享檔案 ( 連線使用 GRE/IPSec 封包封裝演算法 ) 甲公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.10.1, 以下為其設定步驟 : 99

範例 4 步驟 1. 進入甲公司 NUS-MS300 預設位址 192.168.10.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-133) 圖 11-133 IPSec Autokey 視窗步驟 2. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_A ( 如圖 11-134) 圖 11-134 IPSec VPN 連線名稱和使用的外網路介面設定表單步驟 3. 於到目的位址表單中, 選擇遠端閘道 - 固定 IP, 填寫所要連線乙公司的遠端 IP 位址 ( 如圖 11-135) 圖 11-135 IPSec 到目的位址設定表單 100

範例 4 步驟 4. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 位元 ) ( 如圖 11-136) 圖 11-136 IPSec 認證方法設定表單步驟 5. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 MD5 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 1 來進行連線 ( 如圖 11-137) 圖 11-137 IPSec 加密或認證設定表單步驟 6. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-138) 圖 11-138 IPSec 演算法設定表單 101

範例 4 步驟 7. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒, 使用模式選擇 Main mode ( 如圖 11-139) 圖 11-139 IPSec 進階加密設定表單步驟 8. 於 GRE/IPSec 功能中, 輸入 GRE 來源端 IP/ 遮罩 192.168.50.100, GRE 遠端 IP 192.168.50.200 ( 此來源端 IP 和遠端 IP 需為同一 C Class 區段, 需自行設定 ) ( 如圖 11-140) 圖 11-140 GRE/IPSec 設定表單步驟 9. 完成 IPSec Autokey VPN_A 設定 ( 如圖 11-141) 圖 11-141 IPSec Autokey 設定完成畫面 102

範例 4 步驟 10. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-142) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 乙公司 ) 內部網路位址 192.168.20.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 VPN_A 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-143) 圖 11-142 新增 VPN 通道設定畫面圖 11-143 完成新增 VPN 通道設定畫面 103

範例 4 步驟 11. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-144) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-145) 圖 11-144 設定含有 VPN 通道的內部至外部管制條例圖 11-145 完成 VPN 通道內部至外部管制條例的設定 104

範例 4 步驟 12. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-146) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-147) 圖 11-146 設定含有 VPN 通道的外部至內部管制條例圖 11-147 完成 VPN 通道外部至內部管制條例的設定 105

範例 4 乙公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.20.1, 以下為其設定步驟 : 步驟 1. 進入乙公司 NUS-MS300 預設位址 192.168.20.1, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Autokey 次功能選項並點選新增功能 ( 如圖 11-148) 圖 11-148 IPSec Autokey 視窗步驟 2. 於 IPSec Autokey 表單中, 填寫所使用的 VPN 連線名稱 VPN_B ( 如圖 11-149) 圖 11-149 IPSec VPN 連線名稱和使用的外網路介面設定表單步驟 3. 於到目的位址表單中, 選擇遠端閘道 - 固定 IP, 填寫所要連線甲公司的遠端 IP 位址 ( 如圖 11-150) 圖 11-150 IPSec 到目的位址設定表單 106

範例 4 步驟 4. 於認證方法表單中, 選擇 Preshare, 並填入連線時的加密金鑰 ( 加密金鑰最高可輸入 100 位元 ) ( 如圖 11-151) 圖 11-151 IPSec 認證方法設定表單步驟 5. 於加密或認證表單中, 選擇 ISAKMP 演算法 ( 請參閱名詞解說 ), 雙方開始進行連線溝通時, 選擇建立連線時所需的演算法加密演算法 (3DES/DES/AES) 選擇 3DES 及認證演算法 (MD5/SHA1) 選擇 MD5 認證方式另外, 需選擇群組 ( GROUP 1,2,5) 雙方需選擇同一群組, 此處選擇 GROUP 1 來進行連線 ( 如圖 11-152) 圖 11-152 IPSec 加密或認證設定表單步驟 6. 於 IPSec 演算法表單中, 可以選擇資料加密 + 認證或是僅選擇認證方式來溝通 : 加密演算法 (3DES/DES/AES/NULL) 選擇 3DES 加密演算, 認證演算法 (MD5/SHA1) 選擇 MD5 認證演算方式, 來確保資料傳輸時所使用的加密認證方式 ( 如圖 11-153) 圖 11-153 IPSec 演算法設定表單 107

範例 4 步驟 7. 進階加密 (NO-PFS/ GROUP 1,2,5) 選擇 GROUP 1, 並填寫 ISAKMP 更新週期為 3600 秒, 和加密金鑰更新週期為 28800 秒, 使用模式選擇 Main mode ( 如圖 11-154) 圖 11-154 IPSec 進階加密設定表單步驟 8. 於 GRE/IPSec 功能中, 輸入 GRE 來源端 IP/ 遮罩 192.168.50.200, GRE 遠端 IP 192.168.50.100 ( 此來源端 IP 和遠端 IP 需為同一 C Class 區段, 需自行設定 ) ( 如圖 11-155) 圖 11-155 GRE/IPSec 設定表單步驟 9. 完成 IPSec Autokey VPN_B 設定 ( 如圖 11-156) 圖 11-156 IPSec Autokey 設定完成畫面 108

範例 4 步驟 10. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-157) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 乙公司 ) 內部網路位址 192.168.20.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 VPN_B 之 IPSec VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-158) 圖 11-157 新增 VPN 通道設定畫面圖 11-158 完成新增 VPN 通道設定畫面 109

範例 4 步驟 11. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-159) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-160) 圖 11-159 設定含有 VPN 通道的內部至外部管制條例圖 11-160 完成 VPN 通道內部至外部管制條例的設定 110

範例 4 步驟 12. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-161) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 IPSec_VPN_Tunnel 按下確定鈕 ( 如圖 11-162) 圖 11-161 設定含有 VPN 通道的外部至內部管制條例圖 11-162 完成 VPN 通道外部至內部管制條例的設定 111

範例 4 步驟 14. 完成 IPSec VPN GRE/IPSec 連線 ( 如圖 11-163) 圖 11-163 IPSec VPN 連線 GRE/IPSec 之架設環境 112

範例 5 使用兩台 NUS-MS300 設定 PPTP VPN 連線的方法先前作業甲公司 WAN1 IP 為 61.11.11.11 WAN2 IP 為 61.22.22.22 LAN IP 為 192.168.10.X 乙公司 WAN1 IP 為 211.22.22.22 WAN2 IP 為 211.33.33.33 LAN IP 為 192.168.20.X 本範例以兩台 NUS-MS300 作為平台操作假設乙公司 192.168.20.100 要向甲公司 192.168.10.100 做虛擬私有網路連線並下載其分享檔案 113

範例 5 甲公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.10.1, 以下為其設定步驟 : 步驟 1. 在甲公司 NUS-MS300 VPN 之 PPTP 伺服器功能中, 按下修改功能, 啟動 PPTP 伺服器 : 勾選加密認證用戶端 IP 範圍設為 192.44.75.1 254 閒置時間設為 0 ( 如圖 11-164) 圖 11-164 開啟 PPTP VPN 伺服器設定閒置時間 : 當 VPN 連線未被使用的情況下, 會自動斷線的時間 ( 單位 : 分鐘 ) 114

範例 5 步驟 2. 在甲公司 NUS-MS300 VPN 之 PPTP 伺服器功能中, 新增並設定下列資料 : 按下新增按鈕 ( 如圖 11-165) 使用者名稱設為 PPTP_Connection 密碼設為 123456789 用戶端的 IP 位址選擇使用配給的 IP 範圍按下確定鈕 ( 如圖 11-166) 圖 11-165 PPTP VPN 伺服器連線設定圖 11-166 完成 PPTP VPN 伺服器連線設定 115

範例 5 步驟 3. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-167) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 乙公司 ) 內部網路位址 192.168.20.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 PPTP_Server_PPTP_Connection 之 PPTP VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-168) 圖 11-167 新增 VPN 通道設定畫面圖 11-168 完成新增 VPN 通道設定畫面 116

範例 5 步驟 4. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-169) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 PPTP_VPN_Tunnel 按下確定鈕 ( 如圖 11-170) 圖 11-169 設定含有 VPN 通道的內部至外部管制條例圖 11-170 完成 VPN 通道內部至外部管制條例的設定 117

範例 5 步驟 5. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-171) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 PPTP_VPN_Tunnel 按下確定鈕 ( 如圖 11-172) 圖 11-171 設定含有 VPN 通道的外部至內部管制條例圖 11-172 完成 VPN 通道外部至內部管制條例的設定 118

範例 5 乙公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.20.1, 以下為其設定步驟 : 步驟 1. 在乙公司 NUS-MS300 VPN 之 PPTP 用戶端功能中, 新增並設定下列資料 : 按下新增按鈕 ( 如圖 11-173) 使用者名稱設為 PPTP_Connection 密碼設為 123456789 伺服器 IP 或網域名稱輸入填寫所要連線甲公司的遠端 IP 位址勾選加密認證按下確定鈕 ( 如圖 11-174) 圖 11-173 PPTP VPN 用戶端連線設定圖 11-174 完成 PPTP VPN 用戶端連線設定 119

範例 5 從 NUS-MS300 之 PPTP VPN 用戶端建立連線至 Windows PPTP 伺服器時, 要勾選 NAT( 與 Windows PPTP 伺服器連線用 ) 選項, 才可使 NUS-MS300 下之 PC 存取 Windows 所架設網域中 PC 的資源 120

範例 5 步驟 2. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-175) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 乙公司 ) 內部網路位址 192.168.20.0 及遮罩 255.255.255.0 到目的位址選擇到目的位址子網路 / 遮罩填入目的位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 IPSec / PPTP 設定選擇名稱為 PPTP_Client_PPTP_Connection 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-176) 圖 11-175 新增 VPN 通道設定畫面圖 11-176 完成新增 VPN 通道設定畫面 121

範例 5 步驟 3. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-177) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 PPTP_VPN_Tunnel 按下確定鈕 ( 如圖 11-178) 圖 11-177 設定含有 VPN 通道的內部至外部管制條例圖 11-178 完成 VPN 通道內部至外部管制條例的設定 122

範例 5 步驟 4. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-179) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 PPTP_VPN_Tunnel 按下確定鈕 ( 如圖 11-180) 圖 11-179 設定含有 VPN 通道的外部至內部管制條例圖 11-180 完成 VPN 通道外部至內部管制條例的設定 123

範例 5 步驟 5. 完成 PPTP VPN 連線 ( 如圖 11-181) 圖 11-181 PPTP VPN 連線之架設環境 124

範例 6 使用一台 NUS-MS300 與 Windows 2000 設定 PPTP VPN 連線的方法先前作業甲公司使用 NUS-MS300 WAN IP 為 61.11.11.11 LAN IP 為 192.168.10.X 乙公司使用 Windows2000 之單一 PC WAN IP 為 211.22.22.22 本範例以一台 NUS-MS300 及 Windows 2000 VPN-PPTP 作為平台操作假設乙公司 211.22.22.22 要向甲公司 192.168.10.100 做虛擬私有網路連線並下載其分享檔案 125

範例 6 甲公司的預設閘道為 NUS-MS300 的 LAN IP 192.168.10.1, 以下為其設定步驟 : 步驟 1. 在甲公司 NUS-MS300 VPN 之 PPTP 伺服器功能中, 按下修改功能, 啟動 PPTP 伺服器 : 勾選加密認證用戶端 IP 範圍設為 192.44.75.1 254 閒置時間設為 0 ( 如圖 11-182) 圖 11-182 開啟 PPTP VPN 伺服器設定閒置時間 : 當 VPN 連線未被使用的情況下, 會自動斷線的時間 ( 單位 : 分鐘 ) 126

範例 6 步驟 2. 在甲公司 NUS-MS300 VPN 之 PPTP 伺服器功能中, 新增並設定下列資料 : 按下新增按鈕 ( 如圖 11-183) 使用者名稱設為 PPTP_Connection 密碼設為 123456789 用戶端的 IP 位址選擇使用配給的 IP 範圍按下確定鈕 ( 如圖 11-184) 圖 11-183 PPTP VPN 伺服器連線設定圖 11-184 完成 PPTP VPN 伺服器連線設定 127

範例 6 步驟 3. 於 VPN 之通道功能中, 新增下列設定 :( 如圖 11-185) 填入通道所指定的名稱從來源位址選擇內部網路填入來源位址 ( 甲公司 ) 內部網路位址 192.168.10.0 及遮罩 255.255.255.0 到目的位址選擇遠端用戶端 IPSec / PPTP 設定選擇名稱為 PPTP_Server_PPTP_Connection 之 PPTP VPN 連線設定勾選顯示遠端網路芳鄰按下完成鈕 ( 如圖 11-186) 圖 11-185 新增 VPN 通道設定畫面圖 11-186 完成新增 VPN 通道設定畫面 128

範例 6 步驟 4. 於管制條例之內部至外部功能中, 新增下列設定 :( 如圖 11-187) 認證名稱選擇 All_NET 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 PPTP_VPN_Tunnel 按下確定鈕 ( 如圖 11-188) 圖 11-187 設定含有 VPN 通道的內部至外部管制條例圖 11-188 完成 VPN 通道內部至外部管制條例的設定 129

範例 6 步驟 5. 於管制條例之外部至內部功能中, 新增下列設定 :( 如圖 11-189) 自動排程選擇 Schedule_1 頻寬管理選擇 QoS_1 通道選擇 PPTP_VPN_Tunnel 按下確定鈕 ( 如圖 11-190) 圖 11-189 設定含有 VPN 通道的外部至內部管制條例圖 11-190 完成 VPN 通道外部至內部管制條例的設定 130

範例 6 乙公司的 PC 使用實體 IP(211.22.22.22), 以下為其設定步驟 : 步驟 1. 進入 Windows 2000, 於網路上的芳鄰上按下滑鼠右鍵, 選擇內容 ( 如圖 11-191) 圖 11-191 開始 Windows 2000 PPTP VPN 設定 131

範例 6 步驟 2. 於網路和撥號連線視窗中, 用滑鼠點選建立新連線功能 ( 如圖 11-192) 圖 11-192 網路和撥號連線視窗 132

範例 6 步驟 3. 於位置資訊視窗中, 填入所在位置所在位置的區碼和選擇使用的電話系統後, 按下確定鈕 ( 如圖 11-193) 圖 11-193 位置資訊設定視窗 133

範例 6 步驟 4. 於電話和數據機選項視窗中, 按下確定鈕 ( 如圖 11-194) 圖 11-194 電話和數據機選項視窗 134

範例 6 步驟 5. 於網路連線精靈視窗中, 按下一步鈕 ( 如圖 11-195) 圖 11-195 網路連線精靈視窗 135

範例 6 步驟 6. 於網路連線精靈視窗中, 選擇透過 Internet 連線到私人網路, 並按下一步鈕 ( 如圖 11-196) 圖 11-196 設定透過 Internet 連線到私人網路 136

範例 6 步驟 7. 於網路連線精靈視窗中, 填入目的位址, 並按下一步鈕 ( 如圖 11-197) 圖 11-197 設定目的主機名稱或 IP 位址 137

範例 6 步驟 8. 於網路連線精靈視窗中, 選擇連線可用性之提供給所有的使用者使用的建立連線模式, 並按下一步鈕 ( 如圖 11-198) 圖 11-198 設定連線可用性 138

範例 6 步驟 9. 於網路連線精靈視窗中, 設定連線的名稱並按下完成鈕 ( 如圖 11-199) 圖 11-199 完成網路連線精靈設定 139

範例 6 步驟 10. 於連線到虛擬私人連線視窗中, 設定 : ( 如圖 11-200) 使用者名稱為 PPTP_Connection 密碼為 123456789 勾選儲存密碼按下連線鈕出現連線中之訊息視窗 ( 如圖 11-201) 最後出現連線完成視窗 ( 如圖 11-202) 圖 11-200 連線到虛擬私人連線設定視窗圖 11-201 建立 PPTP VPN 連線中 140

範例 6 圖 11-202 完成 PPTP VPN 連線視窗 141

範例 6 步驟 11. 完成 PPTP VPN 連線 ( 如圖 11-203) 圖 11-203 PPTP VPN 連線之架設環境 142