|
昆山主厂固定ip连接外网,一根专线连接台湾总部,使用一台cisco的1812作为核心路由并使用dhcp分配ip,内部有一台ISA服务器控制用户上网。 上海adsl拨号上网,没有固定ip,有业务需要通过vpn连接昆山的总厂,并且需要通过昆山的专线连接台湾的总部,并且需要使用无线路由。 目前使用Windows自带的vpn拨号软件通过ISA实现网络的互通。 台湾内网网段:192.168.0.0/24 昆山内网网段:192.168.11.0/24 上海内网网段:192.168..10.0/24 cisco 1812 IP:192.168.11.253 遇到的问题: 软件的VPN不稳定,经常会出现掉线情况,性能不能满足目前的要求。 网络安全问题,没有防火墙,ISA主机直接暴露在外网,非常容易受到攻击。 解决方案: 客户要求保留ISA服务器,便于内网上网用户的管控,昆山主厂使用一台Netscreen NS-25作为VPN防火墙,架设在外网出口,起到保护内部网络及与上海节点建立VPN的功能。ISA位于防火墙之后,LAN口接内网交换机,WAN口接Netscreen NS-25的DMZ口,Netscreen NS-25的trust接口与内网交换机连接,Trust接口不允许用户上外网。DMZ接口开放外网访问。关闭Netscreen的DHCP功能,由cisco的1812做DHCP及内网网关。 上海节点用户数较少,选用一台Juniper SSG-5防火墙,使用ADSL上网,trust接口允许访问外网,与昆山总厂建立VPN。无线路由WAN接口分配一个Trust接口网段的ip,LAN口随便分配一个网段,由于无线路由使用NAT地址转换,使用无线路由上网的用户可以正常使用公司网络及VPN。 
配置注意事项: 昆山使用Cisco 1812做内网主路由,因此需要在昆山的防火墙增加一条静态路由192.168.0.0/24 192.168.11.253指向核心路由。否则会出现通Ping防火墙Trust接口正常,但是不能访问内部电脑的情况。 VPN使用策略路由,由于上海端还需要通过昆山的专线访问台湾总部,因此上海端VPN策略的Untrust IP为192.168.0.0/24及192.168.11.0/24,相应的也是昆山端的Trust IP。 同时还需要在昆山的Cisco路由器上设置源地址为192.168.10.0的上海网段,目的地址为192.168.0.0/24访问路由。由于客户修改核心交换机需要总部批准,所以采用在策略中使用“ Source Translation”将VPN的IP地址进行NAT转换。 否则会出现上海端访问台湾网段时,被Cisco 1812拦截的情况。 
| 
发表于 2014-11-12 23:31:09