江蘇
跨地區(qū)聯(lián)網(wǎng)辦公最經(jīng)濟(jì)實(shí)惠的方式,莫過于ipsec vpn,筆者此前也不止一次地寫過ipsec vpn的配置方法,但是總有網(wǎng)友說太復(fù)雜了,今天我非要給各位看官來個(gè)簡(jiǎn)單版的教程,只用10張圖片,就能展示華為防火墻配通外網(wǎng),并且配通總部與分支機(jī)構(gòu)的ipsec vpn。
總部與分支機(jī)構(gòu)的網(wǎng)關(guān)設(shè)備相同,都是華為防火墻,型號(hào)為USG6330,缺點(diǎn)是安全授權(quán)都過期了,有待續(xù)費(fèi);密碼忘記了,原配置也沒有了,所以啟動(dòng)時(shí)直接按Ctrl+B,恢復(fù)出廠設(shè)置。
說好了,10張圖片,把防火墻配置上網(wǎng),并且配通ipsec vpn,下面正式開始:
第一圖:配置接口IP;
G0/0/0是管理接口,默認(rèn)為192.168.0.1,因?yàn)榕cG1/0/1網(wǎng)段相同,所以必須修改;
G1/0/0是內(nèi)網(wǎng)接口,配置IP為10.2.2.1/24;
G1/0/1是外網(wǎng)接口,配置IP為192.168.0.2/24,實(shí)際應(yīng)該填寫運(yùn)營(yíng)商給的IP地址,此處因?yàn)槲矣猩蠈勇酚桑蕴顚懙氖巧蠈勇酚山o的IP;
第二圖:在內(nèi)網(wǎng)接口上配置DHCP服務(wù);
正常來說,DHCP一般是配置在交換機(jī)上,但是客戶環(huán)境里面只有傻瓜交換機(jī),所以只能在防火墻上配置DHCP了,注意保留IP,是預(yù)留給服務(wù)器、打印機(jī)以及硬盤錄像機(jī)等需要固定IP的設(shè)備了;
第三圖:配置靜態(tài)路由,此處也稱為默認(rèn)路由;
目的地址:0.0.0.0/0 即指互聯(lián)網(wǎng)任意IP,下一跳此處為光貓IP地址;不寫這條路由,是不能上網(wǎng)的;
第四圖:配置安全策略,放通trust(內(nèi)網(wǎng))到untrust(外網(wǎng))的訪問,不寫這條安全策略,是不能上網(wǎng)的;這就是防火墻和路由器的區(qū)別之處;
第五圖:配置源NAT,就是地址轉(zhuǎn)換,不寫這條,同樣不能上網(wǎng),哈哈,是不是覺得挺麻煩的;
經(jīng)過以上配置,電腦已經(jīng)可以上網(wǎng)了,緊接著開始配置ipsec vpn,以便使總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)能互通。
第六圖:配置ipsec策略,場(chǎng)景:因?yàn)槭强偛浚赃x擇點(diǎn)到多點(diǎn),如果是分支機(jī)構(gòu),那就選擇點(diǎn)到點(diǎn);對(duì)端接入類型:分支網(wǎng)關(guān),L2TP是指筆記本電腦或者手機(jī)遠(yuǎn)程撥入;基本配置里面,名稱隨便寫,無所謂; 本端接口當(dāng)然是外網(wǎng)接口,本端地址是外網(wǎng),實(shí)際應(yīng)該填寫運(yùn)營(yíng)商給的IP地址,此處因?yàn)槲矣猩蠈勇酚桑蕴顚懙氖巧蠈勇酚山o的IP;下面的“本端ID”也是同樣情況;
撥號(hào)用戶配置,即筆記本電腦或者手機(jī)遠(yuǎn)程撥入的相關(guān)配置,主要是確定了L2TP的認(rèn)證模式,以及IP地址池;
第七圖:配置加密數(shù)據(jù)流:第一行是定義總部?jī)?nèi)網(wǎng)到分支機(jī)構(gòu)內(nèi)網(wǎng)的加密數(shù)據(jù)流; 第二行是定義總部?jī)?nèi)網(wǎng)到遠(yuǎn)程撥入用戶的加密數(shù)據(jù)流;第三行是L2TP撥入U(xiǎn)DP協(xié)議的加密數(shù)據(jù)流;
第八圖:配置ipsec相關(guān)的安全參數(shù),兩端必須相同,筆記本電腦或者手機(jī)也必須配置相同參數(shù),因?yàn)槟承┰O(shè)備可能不支持過高的DH組,所以此處也勾選了5,如果沒有陣舊的設(shè)備接入,則不建議勾選DH5;
第九圖:配置安全策略:1、放行總部到分支的通訊; 2、放行分支到總部的通訊; 3、放行untrust到local的通訊,由于分支機(jī)構(gòu)沒有固定的IP,所以此處不能限定IP地址; 4
放行l(wèi)ocal到untrust的通訊; 注意:local是指防火墻本身;
第十圖:這是個(gè)關(guān)鍵點(diǎn),很多人沒做這步操作,所以哪怕是兩端的防火墻已經(jīng)成功地建立了ipsec vpn,兩端的內(nèi)網(wǎng)還是無法通訊的。
這條源NAT策略的意思是,從總部?jī)?nèi)網(wǎng)訪問分支的內(nèi)網(wǎng),不做地址轉(zhuǎn)換,如果沒有這個(gè)配置,那么默認(rèn)為轉(zhuǎn)換,那數(shù)據(jù)流量就走到公網(wǎng)出去了,而不會(huì)從ipsec隧道走,那當(dāng)然不會(huì)有回包了,所以兩端無法互訪。
分支機(jī)構(gòu)的防火墻配置方法基本相同,就不再贅述了,配置完成后,兩端內(nèi)網(wǎng)電腦互ping測(cè)試就可以了。
怎么樣?我說10張圖片就10張圖片吧,華為防火墻配置上網(wǎng),并且兩端配通ipsec vpn就是這么簡(jiǎn)單,如果不成功,那就需要具體分析了,歡迎留言或者私信探討。10張圖片教會(huì)你配置ipsecvpn
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
