本帖最后由 赵庆煜 于 2024-4-23 09:38 编辑
一、背景 客户存在总部与分支网络拓扑架构,目前需要一种在保证数据安全以及节省专线成本的情况下,实现分支内网访问总部内网业务的需求。
二、拓扑 三、配置过程 总部防火墙配置 1.路由模式部署;根据拓扑配置对应接口地址,并划分接口所属的防护区域。 2.配置静态路由;配置访问Internet的默认路由,如果内网有其他网段,还需要配置到达内网网段的回程路由,以下图为例: 3.建立网络对象;根据客户的网络情况,将内网用户IP地址段的相关对象提前定义出来,以供后续的安全策略引用。 4.NAT地址转换;配置地址转换NAT,使内网用户IP地址段可正常访问互联网。 5.应用控制策略;配置应用控制策略,使内网用户IP段可正常访问互联网相关应用,以及分支可通过VPN连接正常访问总部的业务内网。 6.开启VPN服务;在总部端设备[网络]-[Sangfor/IPSec VPN]-[VPN运行状态]中启用VPN服务,保证VPN服务状态是正常的。如下图所示: 7.配置VPN线路;点击[通用配置]-[VPN线路配置],配置VPN线路与WAN口线路进行绑定,用于绑定VPN线路信息,保证有可用的VPN线路,如下图所示。 8.完成Sangfor VPN基本配置;主接入地址根据WAN口地址配置,端口为4009(AF做SANGFOR VPN对接时默认使用的是TCP 4009和UDP 4009端口);密钥自定义,连通性测试成功后,记得保存配置; 9.添加本地网段;并在高级设置里选择VPN内网接口;最后保存配置 10.配置VPN分支接入账号;设置允许接入VPN的用户账号、密码、设置账号使用的配置模板、是否启用硬件捆绑鉴权、隧道内NAT、多线路选路策略等用户策略。 分支防火墙配置 1.路由模式部署;根据拓扑配置对应接口地址,并划分接口所属的防护区域。 2.配置静态路由;配置访问Internet的默认路由,如果内网有其他网段,还需要配置到达内网网段的回程路由,以下图为例: 3.建立网络对象;根据客户的网络情况,将内网用户IP地址段的相关对象提前定义出来,以供后续的安全策略引用。 4.NAT地址转换;配置地址转换NAT,使内网用户IP地址段可正常访问互联网。 5.应用控制策略;配置应用控制策略,使内网用户IP段可正常访问互联网相关应用,以及总部可通过VPN连接正常访问分支内网。 6.开启VPN服务;在分支端设备[网络]-[Sangfor/IPSec VPN]-[VPN运行状态]中启用VPN服务,保证VPN服务状态是正常的。如下图所示: 7.配置VPN线路;点击[通用配置]-[VPN线路配置],配置VPN线路与WAN口线路进行绑定,用于绑定VPN线路信息,保证有可用的VPN线路,如下图所示。 8.添加本地网段;并在高级设置里选择VPN内网接口;最后保存配置 9.连接总部VPN;点击[网络]-[Sangfor/IPSecVPN]-[Sangfor VPN配置]-[连接管理],总部名称可以自定义,其他根据总部配置的接入地址信息、共享密钥、接入账号/密码进行配置。 四、测试 1.VPN状态查看;登录总部与分支AF设备,点击[VPN运行状态],查看VPN隧道已成功建立。 2.业务连通性测试; 总部用户内网通过ping访问分支用户内网,并通过tracert去查看路由路径如下图所示: 分支用户内网通过ping访问总部用户内网,并通过tracert去查看路由路径如下图所示: |