本帖最后由 adds 于 2019-9-10 15:43 编辑
VPN版本:7.3 R3
一、客户环境 客户是当地某小学,一总校,一分校。总校、分校各有一根教育专线接入区信息中心作为互联网的出口。当前分校和总校通过迪普的UTM设备的VPN模块进行网络互联。 VPN模块的作用:分校的无线AP需要注册到总校的AP控制器上;分校的广播网络要与总校的广播网络通信。
二、需求 使用两台某公司VPN-2150对迪普的UTM设备进行替换。
三、部署 1、网络拓扑 通过前期与客户沟通和登录UTM查看设备配置信息,整理的拓扑如下。
再简单介绍下: a. 本校的UTM物理口eth2是二层口,VLAN的IP是:172.32.x.x/24 ----VPN建立连接的IP
本校的UTM物理口eth3是三层口,IP是192.168.1.1/24 b.分校的UTM物理口eth1是二层口,VLAN的IP是:172.16.x.x/24 -----VPN建立连接的IP 分校的UTM物理口eth3是二层口,VLAN的IP是:192.168.2.1/24
2、总校VPN部署 a.部署模式 客户的UTM接了两根线,其中建立VPN的接口有配置网关,必须是网关模式部署啊。 路径:【系统设置】--【网络配置】
模式:网关模式。 WAN:172.32.x.x LAN:192.168.1.x
b.用户管理 路径:【IPSec VPN设置】--【用户管理】
新建一个分校用户
c.基本设置 路径:【IPSec VPN设置】--【基本设置】 配置设备的Webagent地址。
d.本地子网 路径:【系统设置】--【网络配置】--【本地子网】 新增本端需要让对端访问的网段。
3、分校VPN部署 a.部署模式 略
b.连接管理 路径:【IPSec VPN设置】--【连接管理】 新增一个条目,输入总校VPN配置的用户和Webagent地址。
c.本地子网 略
4、验证 查看VPN状态是否正常 路径:【IPSec VPN设置】--【运行状态】
四、问题 1、广播网通了,无线网不通(在无线控制器上看不到分校的AP条目)。 a.检查VPN的状态。(其实不用查,已经有一个网通了,说明VPN已经起来了) b.检查本地子网,是否忘记将无线的网段加入了本地子网。 c.检查交换机配置的回包路由。 问题在这里: 总校交换机命令:ip route 192.168.200.0 255.255.255.0 172.32.x.x (192.168.200.0/24网段是分校AP的网段,172.32.x.x是VPN的WAN口IP) 分校交换机命令:ip route-static 192.168.100.0 24 172.16.x.x (192.168.100.0/24网段是总校AP控制器的网段,172.16.x.x是VPN的WAN口IP)
原因:VPN的入接口只能是LAN口或DMZ口,WAN口是没有办法将数据转入VPN隧道的。
修改两端设备的静态路由,将下一跳交给VPN的LAN口: 总校:ip route 192.168.200.0 255.255.255.0 192.168.1.1 分校:ip route-static 192.168.100.0 24 192.168.2.1
配置完成后还是不通。
原想通过VPN的命令行控制台测试下,看下VPN设备访问自身的网段是否正常,但VPN 7.3 R版本不支持,Sangfor Fireware Update .exe运行后连接不上TCP 51111端口,只能在交换机测试,测试结果:交换机到VPN的LAN口不通!!!
原因:VPN的LAN口的线不是接到出口交换机的,接哪里,怀疑接的是广播网独立的交换机。
怎么搞? 解决办法:
VPN增加一个接口,让Eth1口接一根线连接交换机,交换机上配置回包路由交给VPN的Eth1口。
逻辑关系搞完了,无线网还是不通? a.VPN接口勾选了DMZ口。 路径:【IPSec VPN设置】--【VPN接口】 默认这里只有勾选”LAN“口,如果DMZ口的数据也需要进入VPN Tunnel,也要勾选”DMZ“口。
b.放通DMZ<->VPN的流量 路径:【防火墙设置】--【过滤规则设置】--【VPN<->DMZ】 默认设备只放通了VPN<->LAN的流量,所以,这里需要放通VPN<->DMZ的流量。
最终,分校的AP注册到了总校的AP控制器上。
最终的逻辑拓扑:
五、注意 1、IPSec VPN下很多模块操作需要将浏览器设置为兼容模式才可以访问,部分会出现高版IE无法编辑的情况,这时,可以更换浏览器或电脑后尝试操作。
2、VPN从7.6.0及之后的版本支持WEB页面的命令行控制台。路径:【系统维护】--【控制台命令】。
| 
发表于 2019-9-10 15:43
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
技术专家4级 
