FVX538(FVS338)爲中心，FVS318V3，FVS114，FVS124G爲分支的 ××× 網絡配置實例

1. FVX538到分支一FVS318v3的×××策略配置

2. FVX538到分支二FVS114的×××策略配置

3. FVX538到分支三FVS124G的×××策略配置

一. 方案背景及規劃

本文將以美國網件公司目前在市場上銷售的主要×××防火牆產品爲例子，詳細介紹使用本公司的產品構建企業×××網絡全過程，文中包含了各種×××通道的模式及其具體配置。

方案背景

一箇中心及三個分支機都申請了寬帶上網的線路，其中中心爲固定IP地址的2M光纖專線，分支分別使用中國電信的專線或者ADSL，在本實驗中，我們特別選擇了分支機構1採用固定的IP地址，分支機構2採用動態域名，支機構3採用動態的IP地址這三種接入方式作爲例子，詳細描述了這三種最常見的接入方式的×××配置方法。

圖1-1Netgear解決方案

方案目的

實現中心機構和分支機構的×××互連，使總部和分支機構的局域網可以互

相連接，同時以中心機構作爲中轉，實現三個機構內部局域網的互連。特別要提及的是在本方案中，我們枚舉了三種常見的寬帶接入方式。分別爲：使用固定IP地址的專線的接入方式，使用動態IP地址的ADSL並且申請了動態域名的接入方式，使用動態IP地址的ADSL並且沒有申請動態域名的接入方式，該三種接入方式都可以和總部建立×××通道，但配置的辦法和建立×××通道的要求都有所不同，將在下文作詳細的描述。另外在實現分支機構通過總部的中轉作×××連接這一功能（下文我們簡稱這種功能爲Spoke-and-Hub）時，由於受到×××策略的限制，所以我們必須要特別注意總部和分支機構的IP地址規劃，該IP地址規劃的原則也將在下文詳細敘述。

方案涉及的設備及固件版本

Nodes	Model	Firmware version
Central(Hub)	FVX538/(FVS338)	FVX538 (V1.6.49)
Branch 1(Spoke)	FVS318V3	V3.0.22
Branch 2(Spoke)	FVS114	V1.008
Branch 3(Spoke)	FVS124G	V1.1.24

注意：所有的NETGEAR ×××防火牆系列產品在安裝前都必須升級到最新版本，並恢復出廠設定。請訪問 http://www.netgear.com.cn/獲取產品最終新的軟件。

IP規劃的原則

在配置×××方案的時候必須首先進行IP地址的規劃，使用美國網件公司提供的×××設備的時候，IP規劃必須按照以下原則進行

普通的×××連接的IP規劃原則：

所謂普通的IP地址規劃，就是指在建立點對點或者點對多點的×××網絡的時候的IP地址的規劃。此時，IP地址規劃的原則爲：所有的×××節點都必須使用私有的IP地址，並且各個節點的局域網的IP地址都應該安排在不同的子網內。

使用Spoke and Hub功能時的IP地址規劃

如前文所述，Spoke and Hub就是各分支機構利用×××設備與總部×××設備建立×××通道後，除了可以和總部進行通訊，還可以利用總部×××設備互相進行數據交換，而各×××分支機構之間不需要進行×××的隧道建立的一種×××功能應用，在用戶需要使用Spoke and Hub功能的時候，IP地址的規劃必須堅持以下原則：中心和分支機的內部網絡都屬於同一個A類/B類/C類網絡的不同的子網。

3．本方案的IP規劃

根據本方案的需求，應該按照Spoke and Hub IP地址規劃的原則來執行，在本方案中，我們選擇在Hub(中心機構)和SPOKE（分支機構）都使用192.168.0.0/16網絡內的4個子網，具體如下表：

Nodes	Model	Lan ip address
Central(Hub)	FVX538/FVS338	192.168.1.0/24
Branch 1(Spoke)	FVS318V3	192.168.2.0/24
Branch 2(Spoke)	FVS114	192.168.3.0/24
Branch 3(Spoke)	FVS124G	192.168.4.0/24

TOP

二．認識NETGEAR產品的×××配置界面

本方案使用的FVX538/FVS124G ×××防火牆系列產品默認的管理IP地址都是 192.168.1.1/24。默認的管理帳號是：admin。密碼是：password。
FVS318v3,FVS114 ×××防火牆系列產品默認的管理IP地址都是 192.168.0.1/24。默認的管理帳號是：admin。密碼是：password。

以下以FVX538爲例子，介紹如何登陸到×××設備進行管理。

打開瀏覽器，在地址欄裏面輸入設備的管理地址

圖2-1：FVX538的登錄界面

輸入出廠默認的帳號和密碼，即可登陸到×××設備的管理頁面

圖2-2：FVX538的管理頁面

Netgear的×××防火牆的所有×××的相關配置都嚴格遵守RFC定義的IPSEC標準執行，在產品裏的相關×××設置被分爲IKE Policy 和××× Policy兩個步驟，分別定義 RFC裏面定義的IPSEC標準的×××通道建立的兩個基本步驟的主要參數。也就是說，我們在配置×××策略的時候必須完成××× Policy和IKE Policy配置。下圖以FVX538爲例子加以說明

認識FVX538的×××配置

圖2-3：FVX538的×××配置策略

TOP

三．中心FVX538對應分支一的×××策略配置

1. FVX538到分支一FVS318v3的×××策略配置

因爲FVX538及分支一的FVS318v3均使用固定的IP地址，所以在IKE策略裏我們建議使用MAIN模式進行配置。

IKE策略的配置

進入`×××` / `IKE Policies` 下，點`Add` 按鈕新建一條策略，配置如圖：

圖3-1：TOFVS318V3的IKE POLICY

×××策略的配置

進入`×××` / `××× Policies` 下，點`Add atuo policy` 按鈕新建一條策略，配置如圖：

圖3-2：TOFVS318V3的××× POLICY

TOP

2. FVX538到分支二FVS114的×××策略配置

因爲FVX538使用固定的IP地址及分支二的FVSvs114使用沒有動態態域名的動態IP地址，所以在IKE策略裏我們使用Aggressive模式進行配置,另外在IKE策略裏的Direction/Type裏應該選擇Responder的模式，並且在××× POLICY的REMOTE IP ADDRESS欄目裏填入FVS114的身份標識即可，這意味着只能從FVS114P那裏主動建立×××連接。