本帖最后由 刘Sir 于 2018-12-31 03:49 编辑
一、概述:
本项目为鄂东南地区一个连锁商超行业,大大小小的门店大概有将近200个,大门店和总部之间采用专线和ROS L2TP进行VPN组网,默认走专线,专线出问题走L2TP,小门店采用电信和移动的ADSL作为出口,通过ROS L2TP进行组网,减少专线的投资费用,默认走电信,电信线路Down了走移动线路,实现链路冗余。 因业务发展需要,要对移动用户、供应商、业务运维人员等进行安全管控,打算在原有的组网基础上,对门店各个ROS设备和总部的某公司VPN设备进行IPSec对接,提高数据安全级别,原有的L2TP作为备选链路。因论坛关于某公司IPSec和第三方设备对接的案例方案帖,基本没有关于ROS这块的相关对接介绍,故导致本帖的产生,此为前言,已给各位看官交代清楚,勿拍砖。
二、网络逻辑拓扑
总部Sangfor设备为网关部署,有固定IP,分支机构ROS设备为网关部署,通过ADSL拨号上网,需要实现Sangfor设备和ROS设备的IPSecVPN对接,使得分支机构的192.168.168.0/23网段能够访问总部的172.16.200.0/24服务器网段。
三、Sangfor设备配置
1、第一阶段
2、第二阶段
3、安全选项
至此,Sangfor设备的配置已经全部完成。
四、ROS设备配置
1、第一阶段 winbox进入IP------IPSec------Peers
新增一条新规则
切换至Advance标签
切换至Encryption标签
2、第二阶段 配置Proposals
配置完成后,切换至Policies标签,新增一条新规则
切换至Action标签
可在ROS上看到两端设备对接成功的相关信息
至此,ROS设备的第二阶段基本调试完成,但发现分支ROS端的局域网无法访问到总部端局域网,而总部局域网却可以访问到分支端局域网,这是因为ROS做了伪装上网,ROS端的局域网访问总部局域网的数据包达到ROS后,找不到目标地址为总部局域网子网段的路由条目,直接被伪装后从默认出接口发出,都不给IPSec隧道匹配的机会,知道原因后,就好办了,在分支机构的ROS上,在Srcnat伪装策略之前,做一个源地址为本地子网,目的地址为总部子网的Srcnat放行策略,这样的话,匹配到这条策略的数据包就不会被伪装了。
五、测试验证
总部Sangfor设备能看到连接建立,日志也显示第二阶段的SA协商完成,网络间的连接已经建立。
分支已经可以Ping通总部服务器
至此,针对Sangfor和ROS设备IPSec对接部分的整个配置就全部完成了,希望这个帖子能帮助到需要的人,分享精神需要不断的流传下去,另外打个小广告,小榕软件实验室又可以访问了,榕哥又回来了,原来的网址成了Blog(http://www.netxeyes.com)。 漂流做字 纯属消遣 漫漫长夜 无心睡眠!
QQ:749549
欢迎各位坛友交流!
| 
发表于 2018-12-31 03:50
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
