本帖最后由 nihongliang 于 2017-4-8 22:27 编辑
sangfor中ipsecvpn的建立想必大家都觉得很简单对吧,总部webagent设置一下,再开个几个分支用户,然后分支连连连,vpn就建立起来了。但有时候客户会有一些其他的需求,比如这次的实施。
环境如下拓扑:
现客户要求:
1.所有分支要建立到上海的vpn,访问vlan10和vlan20
2.某公司的服务器做了源地址白名单(已开通58.0.0.1和116.2.2.2),要求没有固定ip的分支通过总部去访问某公司,有固定ip的分支走本身公网地址访问。
3.上海总部有vlan30给领导特别使用(上非死不可,推特,youtube等等)ps:台北可以访问这些应用(万恶的资本主义)
4.上海总部及分公司有需求访问母公司的某个业务系统(10.0.0.1),现总部防火墙已有电信专线连到母公司总部(ps:总部网络不做任何更改)
解决:
1.第一个要求很简单,上海做总部,分支连进来,上海af上本地子网添加vlan10和20
2.这个要求adsl的分支通过总部访问某公司服务器,这里需要在vpn中将去往180.0.0.1的流量引到上海,在本地子网中添加一条路由180.0.0.1 255.255.255.255告诉分支,然后将vpntun新建一个三层区域,应用控制策略中放通道wan区域,再做一条vpntun的源地址转换(目的ip组填某公司地址),这样可以满足分支访问某公司。但这里会有一个问题,这样做也会将台北去访问某公司的流量引过来,根据af的路由优先级(vpn路由>静态路由>策略路由>默认路由)台北的af没法通过本地的wan口去访问某公司。后来联系到400,接线的哥们也没碰过这种情况后来转了几次到专家那边,找到了解决办法。
ps:我们某公司是基于linux,那linux可以同时维护255张路由表,其中有一条local路由表,linux下用ip route show table 255或者table local都可以(大家可以下次在400进后台的时候敲下看看),这个表里的优先级是最高的,需要在这里添加一条去某公司的路由下一跳丢给af的wan口(这里有个注意点,linux命令添加后重启就失效了,需要在etc/rc2.d/s99local里面,添加保存下即可) 这里的操作都交给400吧,没权限进后台只能看看了,你只要知道怎么做就行了。
3.这条翻墙的需求,和上面分支访问某公司类似,用到了隧道间路由,将vlan30引导到台北分支,台北上面做源地址转换及应用控制策略放通(如果是sslvpn设备做一条代理上网即可)
4.所有分支及上海总部要通过专线访问母公司系统,af上添加一条静态路由去10.0.0.1下一跳给10.10.0.1,然后需要将所有vpntun流量做源地址转换到10.10.0.254去访问总部(和2相同的做法)
| 
发表于 2017-4-6 23:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
楼主
技术员2级 
