一、说明

        IOS终端可通过自身携带CISCO客户端进行IPSEC VPN拨号接入

二、组网需求

        如图所示，某公司内部有一台OA服务器，在外移动办公的工作人员需要通过ppt   vpn,拨入到公司内网来对内网服OA服务器进行访问.

        l2tp vpn与 PPTP vpn配置相同，略。

三、网络拓扑

四、配置要点    

       1、基本上网配置

       2、配置用户

       3、NGFW的IPSEC配置

       4、定义策略

       5、配置IOS终端

五、配置步骤    

       步骤1、基本上网配置    

             配置详细过程请参照 “路由模式典型功能>>单线上网或多链路上网“配置章节。

       步骤2、配置用户    

            1）定义用户

菜单：对象配置--用户对象：点击“新建”     

            添加用户名：test，密码 abc123

    2）定义用户组

            菜单：对象配置---用户分组对象，点击“新建”    

     添加用户组: apple,添加test用户到该组。

步骤3、配置地址对象

   手机拨入分配的ip地址     

    可访问的服务器IP地址   192.168.1.0/24

 步骤4：IPSEC阶段设定（勿用web界面上的配置向导，请在CLI命令行下配置）

阶段1

  RG-WALL #config vpn ipsec phase1-interface

  RG-WALL (phase1-interface) #edit iphone

  RG-WALL (iphone) # set type dynamic            //设置类型

  RG-WALL (iphone) # set interface wan1     //设置接口

  RG-WALL (iphone) # set dhgrp 2               //设置dh

  RG-WALL (iphone) # set peertype one

  RG-WALL (iphone) # set xauthtype auto

  RG-WALL (iphone) # set mode aggressive       //设置模式

  RG-WALL (iphone) # set mode-cfg enable

  RG-WALL (iphone) # set proposal aes256-md5 aes256-sha1    //设置算法

  RG-WALL (iphone) # set peerid iphone                     //设置peerid

  RG-WALL (iphone) # set authusrgrp apple               //设置认证用户组

  RG-WALL (iphone) # set ipv4-start-ip 192.168.4.100   //设置客户端起始IP地址

  RG-WALL (iphone) # set ipv4-end-ip 192.168.4.200   //设置客户端结束IP地址

  RG-WALL (iphone) # set ipv4-netmask 255.255.255.0    //设置子网掩码

  RG-WALL (iphone) # set dns-mode auto             //下发防火墙自身系统的DNS

  RG-WALL (iphone) # set psksecret abc123   //设置预共享秘钥

  RG-WALL (iphone) # next

  RG-WALL (phase1-interface)#end

阶段2

RG-WALL #config vpn ipsec phase2-interface

RG-WALL (phase2-interface)#edit iphone

RG-WALL (iphone)#set keylife-type both

RG-WALL (iphone)#set phase1name iphone

RG-WALL (iphone)#set proposal aes256-md5 aes256-sha1

RG-WALL (iphone)#set pfs disable

RG-WALL (iphone)#next

RG-WALL (phase2-interface)#end

步骤5：配置IPSEC防火墙策略

        菜单：防火墙--策略--策略，点击“新建”    

        策略配置如下：

       VPN=>LAN方向

            源接口/区：iphone

            源地址：选择前面建立的iphonepool

            目的接口/区：选择internal

            目的地址：server(192.168.1.0/24)

            服务：ALL

            其他默认即可

            LAN=>VPN 方向

            源接口/区：选择internal

            源地址：server(192.168.1.0/24)

            目的接口/区：iphone

            目的地址：选择前面建立的iphonepool

            服务：ALL

            其他默认即可

     步骤6、配置路由

目标IP：客户端获取到的地址（即iphonepool）

设备：选择iphone接口

其他默认    

   五、终端接入

首先找到手机的“设置”图标。点击打开，在设置列表里找到“通用”，点击进入，如图所示

步骤阅读    

然后在通用选项里找到“VPN”，点击进入配置界面，如图所示

步骤阅读    

在 VPN 配置界面里，点击“添加VPN配置”，如图所示

注：在这里可以添加多个VPN连接设置

步骤阅读    

在VPN详细配置界面中

1.首先选择IPSEC协议，

2.然后在描述中随意输入一个名称：如ipsec1

3.填写VPN服务器地址，即防火墙wan1口地址

4.输入账户，即VPN连接的用户名

5.输入密码，即为VPN连接的验证密码

6.群组名称：填写之前设置的peerid：iphone

7.秘钥：填写预共享秘钥：abc123

8.其它保持默认设置不变，最后点击右上角的“存储”。

配置完成了VPN设置以后，点击VPN配置上方的 VPN 开关，打开即可进行 VPN 连接