2、规划后网络拓扑先看下图,简单介绍下情况。
3、设计思路:
a.在两个机房分别单臂部署一台SSL VPN设备,两个机房起Sangfor VPN隧道,保证机房一(左)到机房二(右)的网络申通。
b.在每台服务器上新增一条物理链路,这里配置私网IP,用于机房之间设备互通,也作为管理网络使用。其中机房一使用192.168.200.0/24网段,机房二使用192.168.100.0/24网段。
c.在机房一配置SSL VPN,用户从机房一接入VPN,对两个机房的设备进行管理。
二、具体配置
1、机房一
a.AF配置
新增接口Eth3,配置为192.168.200.254。
配置区域:
配置路由:
配置去往192.168.100.0/24网段的回包路由交给VPN设备,配置SSL VPN接入的IP网段2.0.1.0/24的回包路由交给VPN设备。
配置地址转换:
配置一条NAT和三条DNAT,三条DNAT分别为接入VPN的端口、Sangfor VPN使用的UDP 4009和TCP 4009端口。
b.VPN配置
单臂模式部署:
本地子网:
把VPN用户接入的网段告知机房二的VPN设备,使其产生去往2.0.1.0/24网段的路由条目。
修改资源访问模式:
使用分配的虚拟IP作为源地址。
新增“运维组“,并创建好相应的用户。
编辑资源组,将”L3VPN全网资源“修改为”机房一VPN资源",新建“机房二VPN资源”,并关联192.168.100.0/24网段的全部端口。
关联角色:
配置IPSec VPN下的基本设置:
配置IPSec VPN设备下的用户管理:
c.机房一服务器配置
配置服务器的第二块网卡:
Vi /etc/sysconfig/network-scripts/ifcfg-em2
配置静态路由:
View /etc/sysconfig/network-scripts/route-em2
使用ifdown em2、ifup em2重启网卡。
查看路由:route -n
2、机房二
a.AF配置
新增eth1接口
新增eth1所在的区域
配置路由:
配置地址转换:
配置一条允许DMZ区域的服务器上网的SNAT即可。
b.VPN配置
配置连接管理:
确保VPN状态正常:
c.服务配置IP及路由
Route add 192.168.200.0 mask 255.255.255.0 -p 192.168.100.1
Route add 2.0.1.0 mask 255.255.255.0 -p 192.168.100.1
验证下:
三、接入VPN验证
使用机房一新建的SSL VPN用户登录VPN,确诊是否可以访问到机房一和机房二的VPN资源。
使用ping测试:
![]()
三、注意事项
1、AF配置的地址转换后,如果地址转换不生效,需要检查应用控制策略之间的区域是否放通。
2、配置了SSL VPN策略后,使用Ping测试发现不通的话,在vpn接口也抓不到包,检查发布的资源是否有添加ping资源。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-3-20 21:22
感谢分享,步骤很详细
工程师3级 
