在ISA Server 2004防火墻和D-link DI-804HV IPSec VPN路由器間啟用IPSec站點(diǎn)到站點(diǎn)的隧道
這個(gè)周末我通過配置一個(gè)D-link的DI-804HV VPN路由器使用IPSec
site-to-site隧道的形式從分公司連接到了公司的ISA防火墻上。這個(gè)D-link路由器非常便宜,并且很容易配置,它可以作為一個(gè)簡單的防火墻,同樣的,它允許進(jìn)入的PPTP和L2TP/IPSec遠(yuǎn)程VPN連接。
實(shí)驗(yàn)環(huán)境如下:
首先,你得確認(rèn)你的內(nèi)部網(wǎng)絡(luò)地址集中包含了整個(gè)內(nèi)部網(wǎng)絡(luò)。這是非常重要的,因?yàn)镮PSec策略必須在建立連接的兩邊都要匹配,否則,連接不會(huì)建立。打開你內(nèi)部網(wǎng)絡(luò)的屬性,如下圖:
這個(gè)內(nèi)部網(wǎng)絡(luò)范圍必須包含你整個(gè)子網(wǎng)。剩下的就很簡單了。
建立一個(gè)新的遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò),命名為“Branch Office”:
選擇IPSec隧道模式,
輸入D-link路由器的外部IP作為遠(yuǎn)程VPN網(wǎng)關(guān)的IP,然后選擇ISA Server的外部IP作為本地VPN網(wǎng)關(guān)的IP,
在認(rèn)證頁,我們選擇預(yù)定義的密鑰,因?yàn)镈-link路由器只支持這個(gè):),
點(diǎn)擊Next,在下一個(gè)屏幕中,加入遠(yuǎn)程VPN網(wǎng)絡(luò)的地址集:
結(jié)果如下:
最后點(diǎn)擊Finish。
現(xiàn)在我們需要建立一個(gè)網(wǎng)絡(luò)規(guī)則,命令為“Branch Office”:
選擇“Branch Office”作為它的源網(wǎng)絡(luò);
選擇后的源網(wǎng)絡(luò)如下:
選擇內(nèi)部網(wǎng)絡(luò)作為目的網(wǎng)絡(luò),
選擇后的目的網(wǎng)絡(luò)如下:
來路由關(guān)系上,選擇“Route”,
在完成這個(gè)向?qū)Ш螅覀冃枰⒁粋(gè)訪問策略來允許分公司訪問總部的網(wǎng)絡(luò),新建一個(gè)策略,命名為“Allow Traffic
from Branch Office”,
規(guī)則動(dòng)作選擇“Allow”,
協(xié)議選擇“All outbound traffic”,
這個(gè)地方,你可以限制分公司可以訪問的服務(wù)。
然后,在源網(wǎng)絡(luò)中,選擇“Branch Office”,
選擇后的源網(wǎng)絡(luò)如下:
在目的網(wǎng)絡(luò)上選擇“Internal”,
選擇后的目的網(wǎng)絡(luò)如下:
用戶集選擇“All Users”,同樣,你可以在此對(duì)分公司的用戶進(jìn)行限制。
點(diǎn)擊完成后,ISA部分的設(shè)置就完成了。下面我們來設(shè)置D-link部分。
D-Link VPN路由器部分
首先,進(jìn)入D-link VPN路由器的管理界面,我是使用的靜態(tài)IP,如下圖:
點(diǎn)擊“Home”,再點(diǎn)擊“VPN”。啟用VPN,然后為你的隧道設(shè)置一個(gè)名字,這個(gè)VPN路由器最大可以同時(shí)支持50個(gè)隧道!
點(diǎn)擊“More”,進(jìn)入隧道的設(shè)置,如下圖,和ISA Server上的設(shè)置相反(注意:圖上有誤,Local
Subnet應(yīng)該是10.1.0.0),預(yù)定義密鑰和ISA Server上設(shè)置的一樣,點(diǎn)擊Apply;
然后我們選擇IKE設(shè)置,點(diǎn)擊“Select IKE Proposal”,如下圖。在這兒,我們建立兩個(gè)具有不同生存周期的IKE狀態(tài):
同樣的,在IPSec Proposal里面,我們建立對(duì)應(yīng)的IPSec狀態(tài),如下圖,點(diǎn)擊Apply
現(xiàn)在我們可以ping公司總部的網(wǎng)絡(luò),測試這個(gè)IPSec site-to-site VPN的連通性,
連接是正常的。
如果你點(diǎn)擊VPN Status,你可以觀察到VPN的連接狀態(tài)。
最后,請(qǐng)你記住,IPSec可以通過NAT設(shè)備,還有本地和遠(yuǎn)程網(wǎng)絡(luò)在VPN的兩端必須保持一致。
核心關(guān)注:銳祥ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。