产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【VPN】VPN如何在桥模式下WALL V和WALL V对接(两端静态)

发布时间:2013-09-08
点击量:1969

一、网络需求

两个不同的局域网,V1600S_1以IPSEC客户端且为桥模式串接在网络中,V1600S_2以IPSEC服务端且为路由模式放在网络的出口,客户端主动发起VPN连接,

与服务端建立IPSEC VPN连接,实现两端局域网之间的互相访问。

二、网络拓扑

左边的内网网段:192.168.10.0/24,V1600S_1的管理IP为br0:192.168.10.254,网关192.168.1.1,出口路由器的外网接口172.18.10.114/24,网关172.18.10.1;

左边的内网网段:192.168.2.0/24,V1600S_2的外网接口eth0:172.18.10.99  网关:172.18.10.1;

PC1------V1600S_1(桥模式)----出口路由-----internet-------V1600S_2-----PC2

三、配置要点

以下配置是在确定当前两端局域网的用户都已经能正常上网的前提下配置的

1. RSR路由的上网配置

配置内网的用户能够正常访问internet

(由于此案例中,V1600S_1是桥模式下VPN客户端,V1600S_2是路由模式下作为出口的VPN服务端,是客户端经过NAT转换后主动向服务端发起连接,而不是服务端主动发起的连接,这时候就无需在RSR上配置关于内网IPSEC VPN的相关端口映射)

 

 

2.V1600S_1的配置

1)配置访问规则,允许内网用户访问外网的数据通过桥组

  • 配置接口IP
  • 定义本地用户网段
  • 配置NAT访问规则

(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)

 

2).配置IPSEC:  

  • 添加设备:预共享密钥:123456

                         本端FQDN标识为:abc      对端FQDN标识为:cba      (此处标识的设置与V1600S_2的设置相反)

  • 添加隧道:设置对应隧道的通信策略:3DES+HMAC_MD5(两边要一致)
  • 高级选项:隧道策略选择 直接放行

 

(注意:在2.50.90.X的软件版本之前的版本时,如果VPN不作为出口设备,只作为NAT网络下的旁挂或者内网串接设备,建立VPN设备时需要用字符标识或者证书方式,不能用地址标识)本案例中使用的软件版本是2.50.90以上的版本。

3.V1600S-2的配置

1).配置内网用户能正常访问internet

  • 配置接口IP
  • 定义本地用户网段
  • 配置允许内网用户访问互联网的地址转换规则

2).配置IPSEC:

  • 添加设备:预共享密钥:123456

                         本端FQDN标识为:cba      对端FQDN标识为:abc   (此处标识的设置与V1600S_1的设置相反)

  • 添加隧道:设置对应隧道的通信策略:3DES+HMAC_MD5(两边要一致)
  • 高级选项:隧道策略选择 直接放行

四、配置步骤

1.RSR路由的上网配置:

-------------以下是RSR路由器配置内网的用户能够正常访问internet------------------

 

以下是命令配置

interface GigabitEthernet 0/0        //内网口

 ip nat inside

 ip address 192.168.10.1 255.255.255.0

 

interface GigabitEthernet 0/1      //外网接口

 ip nat outside

 ip address 172.18.10.114 255.255.255.0

 

     

ip access-list extended 110       //与NAT相关的ACL

 10   permit ip any any

 

ip nat inside source list 110 pool nat_pool overload

ip nat pool nat_pool prefix-length 24

 address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1

 

ip route  0.0.0.0 0.0.0.0 172.18.10.1   //配置默认路由

 

2.V1600S_1的配置

1)配置访问规则,允许内网用户访问外网的数据通过桥组

------------以下配置V1600S_1允许内网用户访问外网的数据通过桥组-----------

  • 配置桥模式下的桥接口IP ,及网关

 

把eth1和eth2加入到桥组

 

  • 在对象定义中定义内网的用户网段

 

  • 配置访问规则,允许内网用户访问外网的数据通过VPN设备

 

 

或者也可以不配置以上安全规则,默认情况下,V1600S初始化时就是放通任何的数据的,所以此处我们可以不新增访问规则

2)配置V1600S_1的IPSEC

----------------------------以下配置V1600S_1IPSEC VPN-----------------------

  • 添加设备

      预共享密钥:ruijie

      本端FQDN标识为:abc      对端FQDN标识为:cba

对应的高级选项勾选”启动探测“

 

  • 添加隧道

      本地子网:V1600S_1的本地用户网段

      对方子网:V1600S_2的内网用户网段

      勾选自动启动

设置对应隧道的通信策略:3DES+HMAC_MD5(两边要一致)

  • 设置高级选项:选择直接放行

3.配置V1600S_2

----------------以下配置V1600S_2 内网的用户访问internet------------------------

 

1).配置内网用户能正常访问internet

  •  配置内网接口IP

  • 配置外网接口IP及外网网关

 

  • 定义本地用户网段

  • 配置允许内网用户访问互联网的地址转换规则

 

调整以上访问规则到最前面,如下图

2)配置V1600S_2的IPSEC VPN

------------------以下配置V1600S_2IPSEC VPN----------------------

  • 添加设备

       预共享密钥:ruijie

      本端FQDN标识为:cba      对端FQDN标识为:abc

  • 添加隧道

      本地子网:V1600S_2的本地用户网段

      对方子网:V1600S_1的内网用户网段

      勾选自动启动

设置对应隧道的通信策略:3DES+HMAC_MD5(两边要一致)

  • 设置高级选项:隧道策略选择   直接放行

 

五、配置验证

当两端设备显示如下状态时,说明VPN隧道建立成功了

在V1600S_1上查看协商状态

在V1600S_2上查看协商状态

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式