查看“Ipsecvpn”的源代码
←
Ipsecvpn
跳转至:
导航
、
搜索
因为以下原因,你没有权限编辑本页:
您所请求的操作仅限于该用户组的用户使用:
用户
您可以查看并复制此页面的源代码:
{{DISPLAYTITLE:IPSec隧道}} == IPSec隧道 == IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 该模块用于在多个WFilter局域网之间建立IPSec VPN通道,使多个局域网变成一个VPN(虚拟局域网)。WFilter的IPSec隧道没有数量限制,只要硬件许可,理论上可以建立无数个IPSec隧道。 == IPSec隧道配置 == 在建立IPSec隧道前,要先进行规划。举例如下: * 假设你有3个局域网A、B、C。 * A有固定公网IP,B、C都是动态IP。 那么建议的方案是: * 首先A、B、C的内网网段要不一样。比如分别是:192.168.10.0/24,192.168.20.0/24和192.168.30.0/24。 * 先在A创建IPSec隧道,把“远程IP”设置为“不限制”。 * B、C分别创建隧道,把“远程IP”设置为A的公网IP。 * 这样AB、AC之间的IPSec VPN隧道就建立起来了。默认配置下,B和C都可以访问A内网。但是B和C之间默认是不互联的,如需实现B和C的互联,需要配置路由表和A的防火墙策略。具体配置请参见下面的例子。 具体配置如下: * 接口:配置隧道的WAN口线路。 * 本地网络:参与VPN互联的本地局域网网段。 * 远程地址:对方局域网的公网IP或者域名(包括动态域名),或者设置为“不限制”让对方局域网拨入。 * 远程网络:远程的内网网段,可以填写多个IP段。比如:“192.168.20.0/24,192.168.30.0/24,172.16.1.0/24”。 * 共享密钥:隧道的共享密码,隧道两侧的密码必须一致。 * 连接方式:自动连接(启动后自动建立连接),手动连接(必须在界面上手动连接)。 * IKE、ESP:验证、传输的加密方式,隧道两侧的IKE版本,IKE以及ESP的加密方式必须一致。 服务端隧道配置: [[文件:ipsec01.png|650px]] 客户端隧道配置: [[文件:ipsec02.png|650px]] '''请注意''': * IPSec建立的VPN隧道访问权限一样被“防火墙”中的策略控制,假设您要禁止VPN隧道的用户访问内网的某个主机,可以在“防火墙”中添加策略,禁止“WAN”口访问指定的内网IP。 * 如果启用了DMZ,需要把ipsec的端口“500,4500”加到例外的端口中去。否则无法建立连接。 * IPSec隧道的WAN口有多个静态IP时,只会在第一个静态IP上监听。 == 查看隧道状态 == 把鼠标移到“状态”的图标上即可查看隧道状态,点击“查看日志”的图标可以查看具体的日志信息。如图: [[文件:faq_ipsec_status001.png|800px]] [[文件:faq_ipsec_status002.png|800px]] == 一次典型的IPSecVPN组网 == 假设有3个子网: * A为总部,公网静态IP地址,内网网段是192.168.10.0/24。 * B为分支机构,动态公网IP,内网网段是192.168.30.0/24。 * C为分支机构,动态公网IP,内网网段是172.16.1.0/24。 下面我们将以此为例,来演示如何使A、B、C之间互联互通。 === 总部A的配置 === * 创建IPSec隧道 [[文件:ipsec_center01.png|800px]] [[文件:ipsec_center02.png|800px]] * 允许分支之间互访 不添加此项配置,不影响分支访问总部,只是分支之间不能互访。 [[文件:ipsec_center03.png|800px]] === 分支B的配置 === * 创建IPSec隧道 [[文件:ipsec_client01.png|800px]] * 添加到分支C的路由表 目标网段填分支C的子网,下一跳地址填写总部A的公网IP。不添加路由表并不影响到总部A的访问,添加路由表就可以访问分支C的网络。 [[文件:ipsec_client02.png|600px]] === 分支C的配置 === * 创建IPSec隧道 [[文件:ipsec_client03.png|800px]] * 添加到分支B的路由表 目标网段填分支B的子网,下一跳地址填写总部A的公网IP。不添加路由表并不影响到总部A的访问,添加路由表就可以访问分支B的网络。 [[文件:ipsec_client04.png|800px]] 经过上述步骤,即可使A、B、C之间互联互通。如果B、C之间不需要互通,则无需添加路由表和总部的防火墙规则。 == 单臂部署的IPSecVPN组网 == 网络结构如下图,WFilter NGF以网桥方式部署,启用IPsec隧道功能。这种VPN部署方式叫做“单臂部署”。 [[文件:passby_ipsec.png|600px]] === 创建IPSec隧道 === 接口选择“bridge”(网桥),如果网桥的IP段和内网IP段不一致,请在“本地网络”中选择“自定义”。 [[文件:passby_ipsec02.png|600px]] === 网关的端口映射配置 === 在网关设备上,需要把IPSec的端口(UDP 500和UDP 4500)映射到WFilter NGF的IP(网桥)。如图: [[文件:passby_ipsec03.png|800px]] === 网关的路由表配置 === 在网关设备上,需要配置路由表,把往IPSec隧道远程网络的访问的下一跳地址指向到WFilter NGF的IP(网桥)。 [[文件:passby_ipsec04.png|800px]] 经过以上配置,即可建议IPSec隧道。如下图: [[文件:passby_ipsec05.png|800px]] [[Category:VPN]]
返回至
Ipsecvpn
。
导航菜单
个人工具
登录
命名空间
页面
讨论
变种
视图
阅读
查看源代码
查看历史
更多
搜索
导航
首页
最近更改
随机页面
帮助
技术支持
工具
链入页面
相关更改
特殊页面
页面信息