|
一、網路需求
二、網路拓撲
三、IP規劃
四、與分支設備LAN-to-LAN IPSsec組網配置
五、移動用戶使用Client-to-LAN IPSsec 遠端接入
六. 移動用戶通過SSL VPN遠端接入到總部
一、網路需求:
隨著企業的發展及企業的資訊化建設,分支機搆、出差員工遠端接入已經成為一個不可避免的情況。NETGEAR針對企業網分支機搆、出差員工及合作方夥伴的接入提供遠端接入方式。
用戶三個業務部門,分屬不同vlan(vlan10,vlan20,vlan30),其中部門vlan10需要與分支辦事處及出差員工遠端存取,NETGEAR提供兩種方式,IPSec VPN(LAN-To-LAN/Client-to-LAN)及SSl VPN供用戶選擇。
注意:此文檔僅討論遠端接入,總部核心基礎組網,請參考另外文檔:
二、網路拓撲:
三、IP規劃
-
1. 計畫分支用戶使用C類:192.168.128.0/17,方便聚合。(原因:基礎實施方案中VLAN10在GSM7352Sv2介面上有設置ACL,限制vlan10只能訪問本網段;如果要開放VPN,需要放開VLAN10對VPN網段的訪問,所以使用192.168.128.0/17方便匯總。)
GSM7352Sv2配置:
access-list 100 deny tcp 192.168.10.0 0.0.0.255 192.168.10.1 0.0.0.0 eq telnet
access-list 100 deny tcp 192.168.10.0 0.0.0.255 192.168.10.1 0.0.0.0 eq http
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.128.0 0.0.127.255 // 放開VLAN10對分支網段VPN訪問
access-list 100 permit ip 192.168.99.0 0.0.0.255 192.168.99.0 0.0.0.255
access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 100 permit ip any any
-
2. 分支辦公室1使用C類:192.168.128.0/24,使用IPSec Client方式遠端接入到總部的用戶,此方案設定此類用戶網段為192.168.200.0/24((軟體中可以設定IP,設定方法下面會介紹)。SSL VPN用戶端IP由UTM150集中分配,此方案使用192.168.201.0/24
UTM150 Fix IP :113.xxx.108.xxx
SRX5308 Fix IP: 219.137.74.45
四、與分支設備LAN-to-LAN IPSsec組網配置
-
總部防火牆(UTM150)配置截圖
點擊Edit,進入看IKE Polices詳細配置,如下:
VPN Polices配置截圖,如下:
點擊Edit,進入觀看VPN Polices詳細配置:
-
SRX5308的配置截圖
a.修改LAN IP為192.168.128.1/24
b. IPSec VPN的設置
點擊“Edit“,觀察IKE Polices詳細配置
VPN Polices截圖如下:
點擊Edit,觀看VPN Polices詳細配置:
c. 測試結果:
五、移動用戶使用Client-to-LAN IPSsec 遠端接入
-
UTM150 Client VPN接入配置
使用嚮導配置,截圖如下:
應用後,IKE Polices及VPN Polices配置結果,如下:
注:使用嚮導配置後,local 網段是防火牆本身的LAN口所屬網段,此時local需要調整為192.168.10.0/24
如下:
-
IPSec Client Software配置截圖:
a. 以Windows XP Client Software為例
下圖紅框中設定VPN Client軟體使用192.168.200.100與總部設備進行遠端接入
注:上面每一步完成後,都需要點擊保存。
b. 測試結果
使用VPN Client撥號,成功後,測試截圖如下:
六.移動用戶通過SSL VPN遠端接入到總部
-
UTM150上SSL VPN配置截圖配置要點:Portal,SSL VPN Client pool,SSL VPN Static Route,SSL VPN users
b. 測試
配置要點:流覽器要允許‘未簽名控制項’
|
.jpg)
.jpg "各類手錶手機,品項齊全")
