1.概述
1.1. 前言
在跨地域的網絡環境之間,建立無需撥號連接的***連接。在沒有點對點專線、硬件***設備等條件下,是否可以使用軟件來實現?
本文將詳解如何使用Forefront TMG 2010建立Site-to-Site IPsec ***。
1.2. 網絡拓撲
拓撲說明
A站:
? 局域網內有1個子網10.2.4.0/24
? 雙Internet出口,網絡訪問默認出口爲路由器,與站點B的通信則經過TMG
? 使用TMG作爲Site-to-Site ***設備,TMG工作模式爲邊緣防火牆
B站:
? 局域網內有2個子網,分別爲192.168.10.0/24和172.17.0.0/16
? 單Internet出口,所有網絡流量均由TMG處理
? 使用TMG作爲Site-to-Site ***設備,TMG工作模式爲邊緣防火牆
2. ***配置
2.1. 軟件更新
在A站和B站分別安裝Forefront TMG2010,並更新至SP2
? TMG 2010不帶補丁的版本號爲7.0. 8108
? 補丁升級必須從低到高,且不能跳過低版本補丁
2.2. A站配置
在網絡連接中,配置TMG網絡
檢查網絡連接中的內部網絡地址,並確保TMG可以訪問
由於TMG爲雙網卡邊緣防火牆模式,LAN網卡是不設備網關的,所以需要手動創建到10.2.4.0/24的路由
可以使用route add命令創建路由,也可以使用TMG的路由功能創建網絡拓撲路由
命令行:
| route add –p 10.2.4.0 mask 255.255.255.0 10.2.3.2 |
10.2.3.2爲路由下一跳地址
在遠程訪問策略(***)中,創建***點對點連接
填寫***網絡名稱
選擇***協議爲IPsec
連接設置,填寫遠程(B站)和本地(A站)的***網關地址(即用來做***的公網地址)
選擇身份驗證方法,可以選擇由同一CA發佈的證書,也可以使用預共享(PSK)密鑰加密
添加需要訪問到對端(B站)的內部地址範圍,此處會默認添加對端***網關地址
點對點網絡規則頁面,直接下一步
點對點網絡訪問規則頁面,選擇所有出站通訊
完成配置,並應用生效
2.3. B站配置
創建點對點***,輸入***網絡名稱,同樣選擇***協議爲IPsec。
連接設置頁面,與A站配置相反,填寫遠程(A站)和本地(B站)的***網關地址
IPsec身份驗證必須與A站的配置完全相同
添加對端(A站)內部地址範圍
網絡訪問規則與A站配置相同,選擇所有出站通訊。完成並應用配置
3. 驗證
3.1. 查看***會話狀態
在A站TMG上查看
在B站TMG上查看
A站主機通過***訪問B站網絡共享
這樣,Site-to-Site IPsec ***就配置成功了。
關於本案例中提到的A站雙Internet出口問題,請參考【Cisco策略路由配置】