下面講解如何通過×××路由器來實現跨網段訪問
首先設備的選購:
選擇2臺tplink r6110或者6120系列
實戰技術:
設置步驟:
一)、基本設置:
1、設置路由器的WAN口模式:基本設置→WAN口設置,進入“WAN口模式”標籤頁,根據需求設置WAN口數量,此處我們選擇爲“單WAN口”,保存。
2、設置WAN口網絡參數:基本設置→WAN口設置,“WAN1設置”標籤頁,設置WAN口網絡參數以及該線路的上下行帶寬值。
注意:請如實填寫線路的上行與下行帶寬值。
二)、IPsec ×××設置:
此處以配置北京分公司與深圳總公司間的IPsec ×××爲例,首先配置北京分公司的TL-ER6120:
(1)、配置IKE安全提議:×××→IKE,進入“IKE安全提議”標籤頁,選擇合適的驗證、加密算法以及DH組。
(2)、配置IKE安全策略:×××→IKE,進入“IKE安全策略”標籤頁。
◆ 協商模式:主模式(Main mode)適用於對身份保護要求較高的場合;野蠻模式(Aggressive mode)適用於對身份保護要求較低的場合,推薦使用主模式。
◆ 安全提議:選擇在“IKE安全提議”中創建的安全提議名稱。
◆ 預共享密鑰:設置IKE認證的預共享密鑰,通信雙方的預共享密鑰必須相同。
◆ DPD檢測:Dead Peer Detect,檢測對端在線狀態,建議啓用。
(3)、配置IPsec安全提議:×××→IPsec,進入“IPsec安全提議”標籤頁,輸入IPsec安全提議名稱,選擇合適的安全協議以及驗證算法。
(4)、配置IPsec安全策略:×××→IPsec,進入“IPsec安全策略”標籤頁。
◆ 安全策略名稱:設置IPsec安全策略名稱。
◆ 本地子網範圍:設置本地子網範圍,即北京分公司局域網“192.168.1.0 /24” 。
◆ 對端子網範圍:設置對端子網範圍,即深圳總公司局域網“192.168.0.0 /24” 。
◆ 對端網關:填寫對端IPsec ×××服務器的IP地址或者域名,此處爲深圳總公司TL-ER6120 WAN口IP地址“121.10.10.2” 。
◆ 協商方式:協商方式分爲IKE協商和手動模式兩種,手動模式需要用戶手工配置密鑰、SPI等參數;而IKE方式則由IKE自動協商生成這些參數,建議選擇“IKE協商”。
◆ IKE安全策略:選擇所配置的IKE安全策略。
◆ 安全提議:選擇配置的IPsec安全提議。
◆ PFS: 用於IKE協商方式下設置IPsec會話密鑰的PFS屬性,本地與對端的PFS屬性必須一致。
◆ 生存時間 :用於IKE協商方式下IPsec會話密鑰的生存時間。
北京分公司TL-ER6120已配置完畢,接下來配置深圳總公司的TL-ER6120。
(5)、配置深圳總公司TL-ER6120的IPsec ×××,其中“IKE安全提議”與“IPsec安全提議”需要與北京分公司TL-ER6120設置相同,此處不再贅述。
深圳總公司IPsec 安全策略如下:
配置完成,IPsec安全聯盟建立成功後,北京分公司的局域網“192.168.1.0/24”與深圳總公司局域網“192.168.0.0 /24 ”間可相互訪問。
上海、廣州分公司與深圳總公司間IPsec ×××配置方法相同。
三)、PPTP ×××設置:
配置出差員工到總公司服務器的訪問,此處使用PPTP(也可選擇L2TP)
1、配置PPTP隧道地址池:×××→PPTP/L2TP,進入“隧道地址池管理”標籤頁,輸入地址池名稱以及地址池範圍。
2、配置PPTP 服務器:×××→PPTP/L2TP,進入“L2TP/PPTP隧道設置”標籤頁,配置PPTP服務器。
3、配置×××客戶端,此處以Windows XP爲例。
(1)、點擊任務欄“開始”→“設置”→“控制面板”,雙擊“網絡連接”圖標,然後選擇左側“網絡連接”菜單欄“創建一個新的連接”。
(2)、“網絡連接類型”選擇“連接到我的工作場所的網絡”。
(3)、“網絡連接”選擇“虛擬專用網絡連接”。
(4)、“×××服務器選擇”,此處輸入×××服務器的IP地址或者域名。
(5)在建立的“虛擬專用網絡”圖標上右鍵屬性,選擇“安全”標籤頁,取消“要求數據加密,沒有就斷開”勾選框。
(6)、輸入用戶名密碼,點擊“連接”按鈕進行PPTP撥號,撥號成功後就可以直接訪問深圳總公司內網郵件服務器與文件服務器。
至此配置完畢,北京、上海、廣州分公司以及出差員工均可以安全訪問公司內網郵件服務器和郵件服務器,各個分公司以及總公司的局域網之間還可以相互訪問。
配置完成後的×××隧道連接如圖下所示,(紅色虛線代表IPsec ×××隧道;藍色虛線代表PPTP隧道)