一、项目背景
某公司,有总部和研发两个区域。每个区域都有两个网段,分别为可访问互联和不可访问互联网的内网办公。之前两个区域连接一直是使用端口映射方式访问共享文件的方式来实现,内网的文件需要通过U盘或者双网卡机器来实现文件互传。安全性很低。基于该需求,客户选择了我们两台SSL VPN放在总部和研发的出口做对接来实现两端内网区域的互访,安全性大幅提高。
二、客户原有网络拓扑 原有的内网是纯隔离的环境,各区域之间文件传输完全依赖于共享文件或者U盘拷贝,安全性很低,由于客户处涉及研发资料保密性极高,因此选择了我们的VPN来实现区域间网络互通。
三、设备上架 将设备做网关部署,网络区域接在LAN口下,内网区域接在DMZ区域下,NAT只代理网络区域网段上网。
四、详细配置 1.总部端设备配置 ★网络配置,设备做网关模式部署,填写好Internet链路,将内网的上网区域配置在LAN,纯内网区域配置在DMZ口。点击保存,提交重启设备,网络基本配置完成。 ★因为客户处不要原纯内网环境访问互联网,故在做代理上网的时候,只需填写互联网办公区域即可。 ★本地子网添加,因为需要两端可互相访问内网区域,所以需要将DMZ口下的网段加入到本地子网列表中。 ★配置IPSEC VPN,首先需要配置webagent部分,即分支段访问总部时的地址,IP:4某公司9,测试其有效性。 ★某公司公司管理,建议分支某公司公司,以便分支段可正常介入。在某公司公司管理界面选择新建,选择分支段某公司公司,配置好相应的某公司公司名和密码。 2.分支段设备配置 因两边网络环境类似,基础网络配置参考总部端配置即可。唯一不同的是配置VPN,进入控制台,点开VPN菜单,选择连接管理。点击新增,输入总部地址*.*.*.*:4某公司9,某公司公司密码即为总部所建立的分支端账号密码。点击完成,确定。 3.查看VPN状态,连接已经建立完成,可以互相访问对端网络。
|