■青島 李士山

VPN是指虛擬專用網(wǎng)絡(luò)，虛擬專用網(wǎng)絡(luò)的功能是：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問。VPN有多種分類方式，主要是按協(xié)議進(jìn)行分類。VPN可通過服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)。

某公司總部位于青島，隨著規(guī)模擴(kuò)大，又在濟(jì)南建立了分公司。青島總部通過神州數(shù)碼防火墻接入因特網(wǎng)，濟(jì)南分公司通過路由器連入因特網(wǎng)。除了互學(xué)內(nèi)網(wǎng)路由之外，還要保護(hù)總公司Vlan10和分公司Vlan10之間的數(shù)據(jù)流。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

IPSec VPN可以實(shí)現(xiàn)不同站點(diǎn)之間的網(wǎng)絡(luò)互聯(lián)，并且支持?jǐn)?shù)據(jù)加密，可以保護(hù)總部和分部之間重要的數(shù)據(jù)流。但是IPSec也有自己的缺陷：一是它工作于網(wǎng)絡(luò)層，和NAT一起使用易造成數(shù)據(jù)源和目的地址的混亂；二是它只支持單播，路由協(xié)議多采用組播進(jìn)行路由信息的更新。GRE是通用路由封裝協(xié)議，可以實(shí)現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層協(xié)議上的封裝。我們可以利用GRE隧道交互內(nèi)網(wǎng)網(wǎng)段，同時(shí)在使用NAT進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)排除IPSEC保護(hù)的數(shù)據(jù)流，避免IPSec VPN和NAT之間的沖突。

網(wǎng)絡(luò)設(shè)備接口IP的配置就不贅述了，下面講解路由和GRE VPN、IPSEC VPN的配置過程；

路由配置

(1)兩臺(tái)三層交換機(jī)各配置一條默認(rèn)路由：

(2)防火墻配置回指靜態(tài)路由和默認(rèn)路由：

(3)路由器R2配置回指靜態(tài)路由和默認(rèn)路由：

配置GRE VPN

配置防火墻FW1

設(shè)置策略，放通trust域和gre域之間的數(shù)據(jù)流。

配置路由器R2

這時(shí)，在防火墻和路由器上可以看到對(duì)方內(nèi)網(wǎng)的路由。防火墻上的路由。

配置NAT

(1)配置防火墻FW1時(shí)，首先拒絕需要IPSEC保護(hù)的青島總部vlan10到濟(jì)南分公司vlan10的重要數(shù)據(jù)流進(jìn)行NAT轉(zhuǎn)換,再將內(nèi)網(wǎng)到外網(wǎng)的所有數(shù)據(jù)流NAT成出口IP。

(2)配置路由器R2

配置策略路由

策略路由優(yōu)先于路由表。我們?cè)诖颂幣渲貌呗月酚?，既可以使IPSEC保護(hù)重要數(shù)據(jù)流，又保障了受保護(hù)網(wǎng)段訪問異地公司其它網(wǎng)段，只是走的是GRE隧道。

(1) 配置防火墻FW1

(2)配置路由器R2

配置IPSEC VPN

(1) 配置防火墻FW1

命令行下配置：

與上述命令相對(duì)應(yīng)的圖形界面配置：如圖2-5所示。

設(shè)置IPSEC VPN策略和內(nèi)網(wǎng)用戶訪問因特網(wǎng)的策略，如圖6所示。

(2)配置路由器R2

至此，青島總部和濟(jì)南分公司實(shí)現(xiàn)了“專線”網(wǎng)絡(luò)跨地域互聯(lián)。