在ISA Server 2004防火墻和D-link DI-804HV IPSec VPN路由器間啟用IPSec站點到站點的隧道
這個周末我通過配置一個D-link的DI-804HV VPN路由器使用IPSec
site-to-site隧道的形式從分公司連接到了公司的ISA防火墻上���。這個D-link路由器非常便宜,并且很容易配置�,它可以作為一個簡單的防火墻,同樣的����,它允許進入的PPTP和L2TP/IPSec遠程VPN連接。
實驗環(huán)境如下:
ISA部分:
首先��,你得確認你的內(nèi)部網(wǎng)絡地址集中包含了整個內(nèi)部網(wǎng)絡���。這是非常重要的�,因為IPSec策略必須在建立連接的兩邊都要匹配,否則����,連接不會建立。打開你內(nèi)部網(wǎng)絡的屬性����,如下圖:
這個內(nèi)部網(wǎng)絡范圍必須包含你整個子網(wǎng)。剩下的就很簡單了�。
建立一個新的遠程站點網(wǎng)絡�����,命名為“Branch Office”:
選擇IPSec隧道模式����,
輸入D-link路由器的外部IP作為遠程VPN網(wǎng)關的IP,然后選擇ISA Server的外部IP作為本地VPN網(wǎng)關的IP�,
在認證頁���,我們選擇預定義的密鑰���,因為D-link路由器只支持這個:)���,
點擊Next����,在下一個屏幕中,加入遠程VPN網(wǎng)絡的地址集:
結(jié)果如下:
最后點擊Finish�。
現(xiàn)在我們需要建立一個網(wǎng)絡規(guī)則,命令為“Branch Office”:
選擇“Branch Office”作為它的源網(wǎng)絡���;
選擇后的源網(wǎng)絡如下:
選擇內(nèi)部網(wǎng)絡作為目的網(wǎng)絡�����,
選擇后的目的網(wǎng)絡如下:
來路由關系上�����,選擇“Route”,
在完成這個向?qū)Ш���,我們需要建立一個訪問策略來允許分公司訪問總部的網(wǎng)絡��,新建一個策略�,命名為“Allow Traffic
from Branch Office”�,
規(guī)則動作選擇“Allow”,
協(xié)議選擇“All outbound traffic”���,
這個地方�����,你可以限制分公司可以訪問的服務�。
然后,在源網(wǎng)絡中����,選擇“Branch Office”,
選擇后的源網(wǎng)絡如下:
在目的網(wǎng)絡上選擇“Internal”���,
選擇后的目的網(wǎng)絡如下:
用戶集選擇“All Users”�,同樣����,你可以在此對分公司的用戶進行限制。
點擊完成后��,ISA部分的設置就完成了����。下面我們來設置D-link部分。
D-Link VPN路由器部分
首先��,進入D-link VPN路由器的管理界面��,我是使用的靜態(tài)IP,如下圖:
點擊“Home”�����,再點擊“VPN”���。啟用VPN���,然后為你的隧道設置一個名字,這個VPN路由器最大可以同時支持50個隧道���!
點擊“More”�����,進入隧道的設置,如下圖���,和ISA Server上的設置相反(注意:圖上有誤���,Local
Subnet應該是10.1.0.0),預定義密鑰和ISA Server上設置的一樣�����,點擊Apply;
然后我們選擇IKE設置����,點擊“Select IKE Proposal”,如下圖���。在這兒�,我們建立兩個具有不同生存周期的IKE狀態(tài):
同樣的���,在IPSec Proposal里面����,我們建立對應的IPSec狀態(tài)����,如下圖,點擊Apply
現(xiàn)在我們可以ping公司總部的網(wǎng)絡�����,測試這個IPSec site-to-site VPN的連通性�,
連接是正常的��。
如果你點擊VPN Status����,你可以觀察到VPN的連接狀態(tài)���。
最后����,請你記住��,IPSec可以通過NAT設備����,還有本地和遠程網(wǎng)絡在VPN的兩端必須保持一致。
核心關注:銳祥ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域�、行業(yè)應用,蘊涵了豐富的ERP管理思想���,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈�����、成本、制造����、CRM、HR等眾多業(yè)務領域的管理���,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域����,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌��。
您的位置:
在線客服