基本情况说明:
1.总部与分支均有若干条公网出口线路,出口设备均为某服AF,出口均为路由模式。
2.总部与分支核心交换机之间通过租用专线建立了一条连接,主要用于内部访问(关键业务:分支PC访问总部DMZ区服务器)
3.原业务专线:速度快,但不稳定,市政建设经常被挖断,影响关键业务使用
组网需求:
通过互联网建立一条VPN隧道,与内网专线互备,当内网专线中断时及时承载相关业务
配置思路:
1.建立隧道:为不影响其他业务,在总部和分支的DMZ区域均配置好一个独立的测试网段及测试PC,用于隧道联通后效果测试。
基本配置很简单:总部启服务,设置线路,开账号,定义本端内网段;
分支启服务,设置线路,建立连接。
因为涉及两个版本的配置,操作略有不同,且还会涉及到访问控制、安全防护等功能影响,下方会有详细步骤。
2.实现主备线路故障切换:隧道建立好后,内网部署一台PC模拟为链路故障检测点,测试专线断网后的情况,再适当调整路由优先级测试效果。
在这里要注意的是:实现的目的是VPN专线作为备用,因此需要将VPN路由优先级调整至其他路由的下方,且原路由要能够实现故障判断。
总部AF版本为8.0.75,可以自定义调整路由优先级。
分支AF版本为8.0.45,无法自定义调整优先级,但可以通过启用“VPN与专线互备路由”功能实现。另外,这个版本在静态路由上无法实现PING故障检测,主路径路由需要通过策略路由实现。
3. 生产数据引流:测试目标达成,将分支内网PC先引流至出口AF,测试效果
一、配置总部AF(8.0.75)
1.检查“本机访问控制”是否放通分支节点访问总部出口的TCP4009和UDP4009端口
也可以单独做一条放在最上面,例图
2.检查是否开启了ARP代理,如无必要可以暂时关闭(也不知道是否会有影响,反正我遇到了些问题,尝试关闭后好了,分支最好也先关掉)
3.检查是否开启了本机Dos防护,可暂时将分支出口IP添加至Dos排除列表中(如不排除,分支可能会因为访问超过某些阈值被总部阻断)
4.开启VPN服务
5.配置VPN线路配置
6.SangforVPN基本配置
7.接入账号设置
先建个接入账号模板
再建一个接入账号,选择刚才的模板
8.创建VPN区域并加入vpntum接口
9.配置应用控制策略,允许VPN出入访问
可以暂时设置全部访问,过后再进行收敛细化
至此,总部配置基本完成
二、配置分支AF(8.0.45)
1.开启VPN服务
2.基本设置-IPSec线路
3.基本设置-IPSec VPN 子网,添加分支本地网段
4.配置连接管理
5.创建VPN区域并加入vpntum接口
6.配置应用控制策略,允许VPN出入访问
至此,分支配置基本完毕,如果配置无误,可以在总部分支隧道监控处看到连接已建立,在路由列表中也能看到相应路由
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-6 14:38
技术员2级 
