目錄
本文將以美國網件公司目前在市場上銷售的主要×××防火牆產品爲例子,詳細介紹使用本公司的產品構建企業×××網絡全過程,文中包含了各種×××通道的模式及其具體配置。
一箇中心及三個分支機都申請了寬帶上網的線路,其中中心爲固定IP地址的2M光纖專線,分支分別使用中國電信的專線或者ADSL,在本實驗中,我們特別選擇了分支機構1採用固定的IP地址,分支機構2採用動態域名,支機構3採用動態的IP地址這三種接入方式作爲例子,詳細描述了這三種最常見的接入方式的×××配置方法。
圖1-1Netgear解決方案
實現中心機構和分支機構的×××互連,使總部和分支機構的局域網可以互
相連接,同時以中心機構作爲中轉,實現三個機構內部局域網的互連。特別要提及的是在本方案中,我們枚舉了三種常見的寬帶接入方式。分別爲:使用固定IP地址的專線的接入方式,使用動態IP地址的ADSL並且申請了動態域名的接入方式,使用動態IP地址的ADSL並且沒有申請動態域名的接入方式,該三種接入方式都可以和總部建立×××通道,但配置的辦法和建立×××通道的要求都有所不同,將在下文作詳細的描述。另外在實現分支機構通過總部的中轉作×××連接這一功能(下文我們簡稱這種功能爲Spoke-and-Hub)時,由於受到×××策略的限制,所以我們必須要特別注意總部和分支機構的IP地址規劃,該IP地址規劃的原則也將在下文詳細敘述。
Nodes |
Model |
Firmware version |
Central(Hub) |
FVX538/(FVS338) |
FVX538 (V1.6.49) |
Branch 1(Spoke) |
FVS318V3 |
V3.0.22 |
Branch 2(Spoke) |
FVS114 |
V1.008 |
Branch 3(Spoke) |
FVS124G |
V1.1.24 |
在配置×××方案的時候必須首先進行IP地址的規劃,使用美國網件公司提供的×××設備的時候,IP規劃必須按照以下原則進行
所謂普通的IP地址規劃,就是指在建立點對點或者點對多點的×××網絡的時候的IP地址的規劃。此時,IP地址規劃的原則爲:所有的×××節點都必須使用私有的IP地址,並且各個節點的局域網的IP地址都應該安排在不同的子網內。
- 使用Spoke and Hub功能時的IP地址規劃
如前文所述,Spoke and
Hub就是各分支機構利用×××設備與總部×××設備建立×××通道後,除了可以和總部進行通訊,還可以利用總部×××設備互相進行數據交換,而各×××分支機構之間不需要進行×××的隧道建立的一種×××功能應用,在用戶需要使用Spoke
and Hub功能的時候,IP地址的規劃必須堅持以下原則:中心和分支機的內部網絡都屬於同一個A類/B類/C類網絡的不同的子網。
3.本方案的IP規劃
根據本方案的需求,應該按照Spoke and Hub
IP地址規劃的原則來執行,在本方案中,我們選擇在Hub(中心機構)和SPOKE(分支機構)都使用192.168.0.0/16網絡內的4個子網,具體如下表:
Nodes |
Model |
Lan ip address |
Central(Hub) |
FVX538/FVS338 |
192.168.1.0/24 |
Branch 1(Spoke) |
FVS318V3 |
192.168.2.0/24 |
Branch 2(Spoke) |
FVS114 |
192.168.3.0/24 |
Branch 3(Spoke) |
FVS124G |
192.168.4.0/24 |
本方案使用的FVX538/FVS124G ×××防火牆系列產品默認的管理IP地址都是
192.168.1.1/24。默認的管理帳號是:admin。密碼是:password。 FVS318v3,FVS114
×××防火牆系列產品默認的管理IP地址都是 192.168.0.1/24。默認的管理帳號是:admin。密碼是:password。
以下以FVX538爲例子,介紹如何登陸到×××設備進行管理。
圖2-1:FVX538的登錄界面
- 輸入出廠默認的帳號和密碼,即可登陸到×××設備的管理頁面
圖2-2:FVX538的管理頁面
Netgear的×××防火牆的所有×××的相關配置都嚴格遵守RFC定義的IPSEC標準執行,在產品裏的相關×××設置被分爲IKE Policy 和×××
Policy兩個步驟,分別定義 RFC裏面定義的IPSEC標準的×××通道建立的兩個基本步驟的主要參數。也就是說,我們在配置×××策略的時候必須完成×××
Policy和IKE Policy配置。下圖以FVX538爲例子加以說明
圖2-3:FVX538的×××配置策略
1. FVX538到分支一FVS318v3的×××策略配置
因爲FVX538及分支一的FVS318v3均使用固定的IP地址,所以在IKE策略裏我們建議使用MAIN模式進行配置。
進入`×××` / `IKE Policies` 下,點`Add` 按鈕新建一條策略,配置如圖:
圖3-1:TOFVS318V3的IKE POLICY
進入`×××` / `××× Policies` 下,點`Add atuo policy` 按鈕新建一條策略,配置如圖:
圖3-2:TOFVS318V3的××× POLICY
因爲FVX538使用固定的IP地址及分支二的FVSvs114使用沒有動態態域名的動態IP地址,所以在IKE策略裏我們使用Aggressive模式進行配置,另外在IKE策略裏的Direction/Type裏應該選擇Responder的模式,並且在×××
POLICY的REMOTE IP ADDRESS欄目裏填入FVS114的身份標識即可,這意味着只能從FVS114P那裏主動建立×××連接。
進入`×××` / `IKE Policies` 下,點`Add` 按鈕新建一條策略,配置如圖:
圖3-3:TOFVS114的IKE POLICY
進入`×××` / `××× Policies` 下,點`Add atuo policy` 按鈕新建一條策略,配置如圖:
圖3-4:TOFVS114的××× POLICY
3. FVX538到分支三FVS124G的×××策略配置
因爲FVX538使用固定的IP地址及分支二的FVS124G使用動態域名的動態IP地址,所以在IKE策略裏我們
使用Aggressive模式進行配置。該連接可以雙向發起。
進入`×××` / `IKE Policies` 下,點`Add` 按鈕新建一條策略,配置如圖:
圖3-5:TOFVS124G的IKE POLICY
進入`×××` / `××× Policies` 下,點`Add atuo policy` 按鈕新建一條策略,配置如圖:
圖3-6:TOFVS124G的××× POLICY
至此中心FVX538的配置已經完成,配置完成後,在FVX538的IKE策略和×××配置策略頁面裏,應該生成如下的配置信息:
圖3-7:FVS538 IKE POLICY
圖3-8:FVS538 ××× POLICY
因爲FVX538及分支一的FVS318v3均使用固定的IP地址,所以在IKE策略裏我們使用MAIN模式進行配置。
配置如下圖:
進入`×××` / `IKE Policies` 下,點`Add` 按鈕新建一條策略,配置如圖:
圖4-1:FVS318V3的IKE POLICY
進入`×××` / `××× Policies` 下,點`Add atuo policy` 按鈕新建一條策略,配置如圖:
此處的 Local IP 應該是: 192.168.2.0 /255.255.255.0
此處的 Remote IP 應該是:192.168.0.0 / 255.255.255.0
圖4-2:FVS318V3的××× POLICY
因爲FVX538使用固定的IP地址及分支二的FVS114使用沒有動態域名的動態IP地址,所以在IKE策略裏我們使用Aggressive模式進行配置,並且在IKE策略裏的Direction/Type裏應該選擇Initiator的模式,這意味着只能從FVS114P那裏主動建立×××連接。
進入`×××` / `IKE Policies` 下,點`Add` 按鈕新建一條策略,配置如圖:
圖5-1:FVS114的IKE POLICY
進入`×××` / `××× Policies` 下,點`Add atuo policy` 按鈕新建一條策略,配置如圖:
此處的 Local IP 應該是: 192.168.3.0 /255.255.255.0
此處的 Remote IP 應該是:192.168.0.0 / 255.255.255.0
圖5-2:FVS114的××× POLICY
六.分支三FVS124G到FVX538的×××策略配置
因爲FVX538使用固定的IP地址及分支二的FVS124g使用動態域名的動態IP地址,所以在IKE策略裏我們使用Aggressive模式進行配置。該連接可以雙向發起。
進入`×××` / `IKE Policies` 下,點`Add` 按鈕新建一條策略,配置如圖:
6-1:Fvs124g的IKE POLICY
進入`×××` / `××× Policies` 下,點`Add atuo policy` 按鈕新建一條策略,配置如圖:
此處的 Local IP 應該是: 192.168.4.0 /255.255.255.0
此處的 Remote IP 應該是:192.168.0.0 / 255.255.255.0
圖6-2:Fvs124g的××× POLICY
- 通過×××日誌及××× 狀態查看×××通道是否成功建立
所有的Netgear Prosafe ××× 防火牆產品都具有×××日誌的查看功能,如
下圖:
圖7-1:××× STATUS例子
1. 在每個分支分別PING中心局域網的主機,如果能夠PING通,即表示從該分支到總部的×××通道已經建立。
2. 各個分支機構裏面的主機能夠互相PING通,即表示SPOKE-AND-HUB功能已經實現。
|