传统的IPSecVPN配置复杂，维护成本高，对网管人员技术要求高，无法统一安全策略；分支点的计算机管理通常是总部IT人员的恶梦。

针对该问题，山石网科为企业用户提供了一种简单易用的VPN技术—— PnPVPN，即即插即用VPN。

通过PnP-VPN技术，在部署VPN时在中心Server端做好配置，接入端只需填入简单的几项配置即可实现到中心端的VPN连接。

PNP VPN组成与功能描述：

PnPVPN由两部分组成，分别是PnPVPN Server和PnPVPN Client，

各自功能描述如下：

l PnPVPN Server：通常放置于企业总部，由总部IT工程师负责维护，客户端的大多数配置由服务器下发。PnPVPN Server通 常由设备充当，一台设备可充当多个PnPVPN Server。

l PnPVPN Client：通常放置于企业分支机构（如办事处），可由总部工程师远程维护，只需要做简单配置（如客户端ID、密码和服务器端IP地址），和Server端协商成功后即可从Server端获取配置信息（如DNS、WINS、DHCP地址池等）。

设备既可以充当PnPVPN Server，又可以充当PnPVPN Client。当充当Server时，不同平台支持的VPN实例数和每个实例所支持的 客户端数有所不同。

PnPVPN的工作流程如下：

1、客户端发起连接请求，并传送自己的ID以及密码到服务器端。

2、 服务器端收到请求后，验证客户端传送的ID和密码，验证通过即下发预配置的DHCP地址池、DHCP掩码、DHCP网关、 WINS、DNS和隧道路由等信息到客户端。 

3、客户端把收到的信息下发到相应的功能模块。

4、客户端PC自动获取IP地址、IP地址掩码和网关地址等网络参数，并正常接入VPN网络。

PnP VPN 配置方案

一、实验拓扑

为了模拟仿真环境，两台墙采用不同网段的公网地址，连接介质为模拟运营商的思科路由器。

二、实验需求

1、  FW2 的公网接口地址不固定，内网地址由 FW1 分配。

2、  在 FW1 和 FW2 之间的链路数据是加密的。

3、  FW2 无人维护，配置要简单易用。

三、实验步骤(WEBUI)

1、接口安全域，IP地址

基础配置必须要有，默认路由，源NAT

总部防火墙配置

分支防火墙配置

2、在总部防火墙上配置IPSec接入用户信息，生成密钥

创建接入用户

配置IPSec参数并且生成密钥

3、在总部防火墙配置路由和NAT、策略。

在总部防火墙 上配置到 分支防火墙 的路由，下一跳指向 tunnel接口。

在总部防火墙 上配置 SNAT，不转换 ipsec 保护流量。

在总部防火墙上配置安全策略。

可根据实际环境添加，我比较懒，就一条全ANY

4、在分支防火墙上配置PNP客户端

四、验证测试

VPN建立成功，分支成功拨入总部访问。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！