Juniper Netscreen防火牆VPN配置案例
崑山主廠固定ip連線外網,一根專線連線臺灣總部,使用一臺cisco的1812作為核心路由並使用dhcp分配ip,內部有一臺ISA伺服器控制使用者上網。
上海adsl撥號上網,沒有固定ip,有業務需要通過vpn連線崑山的總廠,並且需要通過崑山的專線連線臺灣的總部,並且需要使用無線路由。
目前使用Windows自帶的vpn撥號軟體通過ISA實現網路的互通。
臺灣內網網段:192.168.0.0/24
崑山內網網段:192.168.11.0/24
上海內網網段:192.168..10.0/24
cisco 1812 IP:192.168.11.253
遇到的問題:
軟體的VPN不穩定,經常會出現掉線情況,效能不能滿足目前的要求。
網路安全問題,沒有防火牆,ISA主機直接暴露在外網,非常容易受到攻擊。
解決方案:
客戶要求保留ISA伺服器,便於內網上網使用者的管控,崑山主廠使用一臺Netscreen NS-25作為VPN防火牆,架設在外網出口,起到保護內部網路及與上海節點建立VPN的功能。ISA位於防火牆之後,LAN口接內網交換機,WAN口接Netscreen NS-25的DMZ口,Netscreen NS-25的trust介面與內網交換機連線,Trust介面不允許使用者上外網。DMZ介面開放外網訪問。關閉Netscreen的DHCP功能,由cisco的1812做DHCP及內網閘道器。
上海節點使用者數較少,選用一臺Juniper SSG-5防火牆,使用ADSL上網,trust介面允許訪問外網,與崑山總廠建立VPN。無線路由WAN介面分配一個Trust介面網段的ip,LAN口隨便分配一個網段,由於無線路由使用NAT地址轉換,使用無線路由上網的使用者可以正常使用公司網路及VPN。
配置注意事項:
崑山使用Cisco 1812做內網主路由,因此需要在崑山的防火牆增加一條靜態路由192.168.0.0/24 192.168.11.253指向核心路由。否則會出現通Ping防火牆Trust介面正常,但是不能訪問內部電腦的情況。
VPN使用策略路由,由於上海端還需要通過崑山的專線訪問臺灣總部,因此上海端VPN策略的Untrust IP為192.168.0.0/24及192.168.11.0/24,相應的也是崑山端的Trust IP。
同時還需要在崑山的Cisco路由器上設定源地址為192.168.10.0的上海網段,目的地址為192.168.0.0/24訪問路由。由於客戶修改核心交換機需要總部批准,所以採用在策略中使用“ Source Translation”將VPN的IP地址進行NAT轉換。 否則會出現上海端訪問臺灣網段時,被Cisco 1812攔截的情況。