首先設(shè)置一臺(tái)防火墻有固定的IP地址，許可其他客戶端（可變化獲得的IP地址）來通過VPN安全通道訪問防火墻后面的內(nèi)部網(wǎng)絡(luò)。在防火墻上先定義好一些VPN Dialup user用戶。有三種類型的訪問方式：⑴手工生成鑰匙通道，⑵自動(dòng)生成鑰匙IKE通道（預(yù)共享密鑰或認(rèn)證）⑶動(dòng)態(tài)點(diǎn)到內(nèi)網(wǎng)VPN訪問，自動(dòng)生成鑰匙IKE通道（預(yù)共享密鑰或認(rèn)證）。

舉例子如下
===========

1． 基于策略的手工生成鑰匙通道，撥到內(nèi)網(wǎng)的VPN訪問：
該VPN通道采用3DES數(shù)據(jù)加密和SHA-1的認(rèn)證。順序是-->網(wǎng)絡(luò)接口-->對(duì)象地址-->對(duì)象用戶(Manual Key)---**利用敲入的密碼會(huì)生成16進(jìn)制的串，這些串將被拷貝到Netscreen Remote客戶端軟件中用來配置好這個(gè)VPN通道使之可以使用。-->網(wǎng)絡(luò)路由，路由表，Trust-vr接口生成新的條目—地址是0.0.0.0/0，網(wǎng)關(guān)選擇到Untrust口,IP地址為Untrust接口IP地址的后一個(gè)地址（如果Untrust口地址是通過PPPoE自動(dòng)獲得的，可先查看并記錄下），-->策略，從不可信口到可信口方向，新建一條策略,源地址為Dialup VPN

2． 基于策略的自動(dòng)生成IKE，撥到內(nèi)網(wǎng)的VPN訪問：
（實(shí)驗(yàn)環(huán)境：NS5XP防火墻軟件版本4.0.R6，NSRemote 5.1.3）。在防火墻上設(shè)置：在對(duì)象用戶組中建立一個(gè)本地用戶(wang)，類型為IKE，用Email地址(例如 wang@51cto.com)作為簡(jiǎn)單標(biāo)識(shí)該用戶；在VPN的AUTOKEY高級(jí)欄的GATEWAY中，新建一個(gè)‘從用戶名到NSRemote’的網(wǎng)關(guān)，其安全LEVEL為自定義，Remote Gateway 的類型為撥號(hào)用戶wang；敲入預(yù)共享的密碼（字符串大于8個(gè)），然后在高級(jí)選項(xiàng)中配置（安全LEVEL為CUSTOM，Phase 1 Proposal為pre-g2-3des-sha，模式為Aggressive）；最后創(chuàng)建一條從UNTRUST到TRUST口的訪問策略，允許從外部撥號(hào)到內(nèi)部網(wǎng)絡(luò)的指定機(jī)器，選上Position at top。   在NS Remote軟件上，主要設(shè)好：UNTRUST口地址；標(biāo)識(shí)Email地址；模式為Aggressive；預(yù)共享密碼和防火墻端一樣；認(rèn)證中3des-sha1-g2；交換KEY中新建3中另外可能的組合（在DES，3DES，SHA，MD5之間組合）

1. set interface ethernet1 zone trust
2. set interface ethernet1 ip 172.30.5.1/24
3. set interface ethernet3 zone untrust
4. set interface ethernet3 ip 203.10.20.1/24
5. set address trust unix 172.30.5.6/32
6. set user wendy ike-id u-fqdn wparker@email.com
7. Preshared Key:
set ike gateway wendy-nsr dialup wendy aggressive outgoing-interface ethernet3 preshare h1p8a24ng proposal pre-g2-3des-sha
set vpn wendy_unix gateway wendy_nsr sec-level compatible
(or)
Certificates:
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha-1
set ike gateway wendy_nsr cert peer-ca 1 
set ike gateway wendy_nsr cert peer-cert-type x509-sig
set vpn wendy_unix gateway wendy_nsr sec-level compatible
8. set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 203.10.20.2
9. set policy top from untrust to trust “Dial-Up VPN” unix any tunnel vpn wendy_unix
10. save

3． NetScreen Remote軟件端的設(shè)置：
1. Option>secure>specified Connections
2. Add a new connection, Type Unix next to the new connection icon appears
3. Configure the connection options:
connection security:secure
Remote part ID type: IP address
IP address: 172.30.5.6
Connect using secure Gateway Tunnel: (select)
ID type : IP address; xxx.10.20.1  // 防火墻上的UNTRUST口的地址
4. 點(diǎn)開+號(hào)，展開策略內(nèi)容：
在 My Identity中 填入preshare Key為 h1p8a24ng 并在ID type 選Email Address 寫上 wparker@email.com 或者 在certificate 下拉列表中 選 一個(gè)證書 ID type類型為 E-mail Address
5. 到security policy圖標(biāo)，選 Aggressive Mode
6. 點(diǎn)開 Authentication (phase 1)>proposal 1 并選擇Triple DES 和 SHA-1 和 Diffie-Hellman Group 2
7. 點(diǎn)開 Key exchange(phase 2) > proposal 1 選擇以下的IPSec協(xié)議：選中ESP后 Triple DES 和 SHA-1 和Tunnel 封裝；再新建立3種另外組合，
8. 點(diǎn)擊 save

設(shè)置完畢后就可以從撥號(hào)端訪問內(nèi)網(wǎng)了。