更新时间:2023-10-30
某客户网络拓扑如下图所示,总部出口处部署了防火墙,内网接三层交换机,三层交换机下面划分了内部员工区域和服务器区域,且单臂模式部署了SANGFOR的VPN设备实现与分公司的VPN互连。客户的分公司路由模式部署了SSL设备,实现代理分公司的内部员工上网,并与总部的SSL设备进行VPN互连,实现相互的访问。
总部防火墙上的配置:
由于VPN设备接在内网,且该设备做VPN连接时是以总部部署,所以需要在前置防火墙上做TCP/UDP的4009(默认端口)端口映射。
由于总部内网网段跨三层环境,所以需要在前置防火墙上配置系统路由,到172.16.1.0/16网段,其下一跳为172.16.3.1。
由于各个厂家设置方法有所不同,以上配置此处不截图说明。
总部三层交换机上的配置
添加到分支网段192.168.1.0/24网段的路由,其下一跳为172.16.4.100,将数据交由VPN设备进行封装处理。由于各个厂家设置方法有所不同,此处不截图说明。
总部SSL设备上的配置
第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN口IP地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:
第二步:配置WEBAGENT,进入『IPSEC VPN设置』→『基本设置』,设置好主 webagent信息,MTU和最小压缩值默认即可,监听端口采用默认值,本案例配置界面如下:
第三步:为分支建一个VPN账号,进入『IPSEC VPN设置』→『用户管理』,新增一个VPN账号,选择类型为分支,配置界面如下:
第四步:新增本地子网,宣告总部需要进行VPN互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN互连的网段,配置界面如下:
以上步骤结束,总部配置完成。
分支SSL设备的配置
第一步:网关模式部署设置。进入『系统设置』→『网络配置』,选择设备工作模式为网关模式,设置好LAN口和WAN口地址,DNS等信息,点击确定,界面如下:
第二步:设置代理上网,进入『防火墙设置』→『NAT设置』→『代理上网设置』,新增一条规则,定义规则名称,选择内网接口,并设置好子网网段和子网掩码,点击确定,界面如下:
第三步:建立VPN连接,进入『IPSEC VPN设置』→『连接管理』,新建一个连接,填写总部设置的WEBAGNET,总部建的VPN账号,界面如下:
以上配置结束后,完成总部与分支VPN连接的所有步骤。可以通过运行状态查看IPSEC VPN的连接情况。
两台设备做VPN互联时,必须保证至少有一台设备的VPN连接端口在公网上能通。