×××连接需求:
XX商业集团位于北京总部,并有总部和分部两个园区网,另外北京还有一个分支办公处。总部和分部采用×××连接。
×××规划:
本项目需要在总部和分部之间采用×××连接,总部和分部两个园区网之间属于远程连接,因此提供一种站点到站点的×××连接是解决问题的方法,而我们的总公司和分公司都安装了ISA软件防火墙,我们可以利用ISA软件防火墙的×××功能就可以实现,站点到站点×××连接指的是在两个公司的ISA服务器上面配置好×××的拨入拨出参数,确保两个ISA服务器既可以拨叫对方的×××服务器,又允许对方拨叫自己的×××服务器。这样在两个公司之间就创建完成了×××隧道。创建好隧道之后,只要在两个公司之间成功连接,内网用户就可以互相访问通信。
下面是两个防火墙的vpn配置参数;
总部TMG 2010 软件防火墙:
配置 | 参数 |
点对点网络名称 | Fenbu |
隧道协议 | PPTP |
远程站点×××服务器的ip地址 | 172.168.1.107 |
远程身份验证 | 用户名:zongbu 域:fb 密码:P@ssw0rd |
远程站点网络的ip地址范围 | 192.168.4.0~192.168.4.255 |
远程NLB | 没有 |
点对点网络规则 | 名称:Fenbu 到 内部网络 在新网络和这些目标网络路由通讯:内部 |
点对点网络访问规则 | 将规则应用于这些协议:所有出站通讯 |
分部TMG 2010 软件防火墙:
配置 | 参数 |
点对点网络名称 | Zongbu |
隧道协议 | PPTP |
远程站点×××服务器的ip地址 | 172.168.1.103 |
远程身份验证 | 用户名:fenbu 域:kg 密码:P@ssw0rd |
远程站点网络的ip地址范围 | 192.168.1.0~192.168.1.255 |
远程NLB | 没有 |
点对点网络规则 | 名称:zongbu 到 内部网络 在新网络和这些目标网络路由通讯:内部 |
点对点网络访问规则 | 将规则应用于这些协议:所有出站通讯 |
搭建站点到站点的×××连接:
在本项目中,我设置了总部内网的ip地址范围是192.168.1.0/24 .分部的地址范围是192.168.4.0/24 .我们在两个园区网都分别使用一台 TMG 2010 连到Internet 。项目规定总部和分部使用 ××× 连接,因此我们在总部和分部之间搭建 站点到站点的×××连接。这样在总部访问分部内网就不用每台机都要使用×××连接,而是由 TMG 代理拨到分布去,同样在分部内网访问总部的内网也是有TMG代理。
在总部防火墙上搭建×××服务器:
1. 首先打开 配置×××属性 。
2. 防火墙策略中允许内网和本地主机任意访问,×××地址池的范围是: 192.168.100.1~192.168.100.200 。
3. 启用×××并允许使用 PPTP 和 L2TP .
4. 创建点对点网络,首先输入点对点网络名称,这里输入fenbu 。这个名称是分部访问总部的凭据,也就是所在总部要有这样一个用户,是允许分部连接过来的,之后是选择×××站点间连接要使用的协议。这里选择PPTP 点对点隧道协议。
5. 输入 fenbu 的ip地址,创建一个 总部访问分部的用户 ,同样道理,在分部要有这样一个用户允许总部 访问的。
6. 指定远程站点网络的ip地址范围。也就是分部内网 的ip地址范围。下一步,不启用NLB 网络负载平衡。
7. 点对点网络规则,这里是 创建了 分部到内部网络是路由规则,我们按照默认就可以,下一步,是允许站点间往返式可以使用的协议,我们这里选择 所有出站通讯。之后完成创建。
8. 创建完之后,我们打开 路由和远程访问 ,我们看到 路由和远程访问 处于开启状态,并且在网络接口里,添加了一个名称为 fenbu 的请求拨号 。
9. 在KG-DC 上创建一个与 远程站点同名的用户,并设置网络访问权限为 允许访问 。
在分部防火墙上搭建×××服务器:
10. 在 配置×××属性里,允许内网和本地主机任意访问,设置×××地址池的范围 192.168.200.1~192.168.200.200 。
11. 启用××× 并 允许使用 PPTP 和 L2TP 访问。
12. 创建 ×××点对点连接。输入点对点的名称 zongbu ,此名称是总部 访问 分部 的凭据,也就说要在 分部有这个 用户允许总部 拨号过来。同样选择PPTP 点对点隧道协议。
13. 输入远程站点×××服务器,也就是总部的防火墙的ip地址。之后创建一个 连接到远程站点的用户进行身份验证。在总部要创建这样一个用户并允许拨入。
14. 指定远程站点网络的ip地址范围,也就是总部内网的网络范围。下一步,不启用NLB 网络负载平衡,因为只有一个防火墙。
15. 创建指定路有关系的网络规则,我们这里按照默认就可以,总部 到分部内网 是启用 路由规则。允许所有用户在 分部内网 和 总部之间的通讯是 所有出站通讯。
16. 创建与 zongbu 站点同名的用户。并赋予允许访问的网络访问权限。
测试:
17. 从总部KG-DC PING 分部FB-DC .可以看到成功,之后可以在 路由和远程访问中看到 zonbu请求拨号 是处于开启和连接的状态。
18. 从分部 FB-DC ping 总部 KG-DC ,同样可以看到成功ping 通, 在路由和远程访问里,也看到 fenbu 网络接口是处于 启用和连接的状态。