实验拓扑
图 1-1
实验需求
- 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,长沙分公司在内网中旁挂 WOC 作为 VPN 设备
- 配置 IPsec VPN,使深圳总部和长沙分公司内网互通
实验解法
在深圳总部和长沙分公司的公网出口设备上配置端口映射,使 IPsec VPN 设备公网可见
分析:由于 VPN 设备旁挂在内网中,所以需要在各自的公网出口设备上配置端口映射。IPsec 需要映射 UDP500 端口,另外还需要映射 IKE 协议的 UDP4500 端口
深圳总部公网具有双线路接入互联网,可根据需求分别配置电信和联通的端口映射,这里只映射电信线路的端口
步骤 1:在深圳总部登录 AD 设备,点击网络配置-端口映射,如图 1-2 所示
图 1-2
步骤 2:点击新建,把电信的公网地址的 UDP500 和 UDP4500 端口映射至 SSL VPN,如图 1-3 所示,配置完成后点击完成
图 1-3
步骤 3:在长沙分公司登录 AC 设备,点击系统管理-端口映射,如图 1-4 所示
图 1-4
步骤 4:点击新增-简单规则,把公网地址的 UDP500 和 UDP4500 端口映射至 WOC,如图 1-5 所示,配置完成后点击完成
图 1-5
UDP4500 端口配置方法与图 1-5 一致在深圳总部的 SSL VPN 设备上配置 IPsec VPN
步骤 1:登录 SSL VPN 设备,点击IPsec VPN 设置-第一阶段,配置 IPsec VPN 的第一阶段,如图 1-6 所示
图 1-6
步骤 2:点击新增,设备名称填写容易分辨的名称、固定 IP填写长沙分公司的公网 IP 地址,认证方式选择预共享密钥,并配置密钥,如图 1-7 所示
图 1-7
步骤 3:点击高级,选择模式为野蛮模式,选择身份类型为FQDN,并配置本端和对端身份,完成后点击确定,完成配置第一阶段,如图 1-8 所示
图 1-8
注意:由于 VPN 设备为旁挂部署,所以必须使用野蛮模式连接
步骤 4:点击进入第二阶段配置,首先新增入站策略,子网填写长沙分公司的私网网段,如图 1-9 所示
图 1-9
步骤 5:新增出站策略,子网填写深圳总部本地私网网段,如图 1-10 所示
图 1-9在长沙分公司的 WOC 设备上配置 IPsec VPN
步骤 1:登录 WOC 设备,点击IPsec VPN-IPsec 连接,配置 IPsec VPN 的第一阶段,如图 1-10 所示
图 1-10
步骤 2:新建第一阶段,填写容易分辨的名称,选择野蛮模式,填写深圳总公司公网 IP 地址,以及预共享密钥和本端、对端 FQDN,如图 1-11 所示
图 1-11
步骤 3:切换到第二阶段,新增入站策略,远程 IP 处填写深圳总公司的私网网段,如图 1-12 所示
图 1-12
步骤 4:新增出站策略,本地 IP 处填写长沙分公司的本地私网网段,如图 1-13 所示
图 1-13
步骤 5:在 VPN 设备上的 VPN 状态查看中查看,可以发现 IPsec VPN 连接已经建立,如图 1-14 所示
图 1-14在终端的网关设备上配置私网路由
分析:因为本环境中,VPN 设备旁挂在网络中,需要在网关设备上配置到达对端私网的路由,下一跳指向 VPN 设备,使私网报文可以正确发往 VPN 设备进行公网封装
步骤 1:在深圳总公司登录 AF 设备,配置到达长沙私网网段的静态路由,下一跳指向 VPN 设备,如图 1-15 所示
图 1-15
步骤 2:在长沙分公司登录 AC 设备,配置到达深圳私网网段的静态路由,下一跳指向 VPN 设备,如图 1-16 所示
图 1-16效果测试
在深圳总公司的 PC 上测试,可以 Ping 通 长沙分公司的内网 PC,如图 1-17 所示
图 1-17
http://www.dengfm.com/15288904024893.html
若有收获,就点个赞吧
0 人点赞
