网络时代交流中心

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2264|回复: 0

Juniper Netscreen防火墙VPN配置案例

[复制链接]

281

主题

303

帖子

8万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
80889
发表于 2014-11-12 23:31:09 | 显示全部楼层 |阅读模式

昆山主厂固定ip连接外网,一根专线连接台湾总部,使用一台cisco的1812作为核心路由并使用dhcp分配ip,内部有一台ISA服务器控制用户上网。

上海adsl拨号上网,没有固定ip,有业务需要通过vpn连接昆山的总厂,并且需要通过昆山的专线连接台湾的总部,并且需要使用无线路由。

目前使用Windows自带的vpn拨号软件通过ISA实现网络的互通。

台湾内网网段:192.168.0.0/24

昆山内网网段:192.168.11.0/24

上海内网网段:192.168..10.0/24

cisco 1812 IP:192.168.11.253

遇到的问题:

软件的VPN不稳定,经常会出现掉线情况,性能不能满足目前的要求。

网络安全问题,没有防火墙,ISA主机直接暴露在外网,非常容易受到攻击。

解决方案:

客户要求保留ISA服务器,便于内网上网用户的管控,昆山主厂使用一台Netscreen NS-25作为VPN防火墙,架设在外网出口,起到保护内部网络及与上海节点建立VPN的功能。ISA位于防火墙之后,LAN口接内网交换机,WAN口接Netscreen NS-25的DMZ口,Netscreen NS-25的trust接口与内网交换机连接,Trust接口不允许用户上外网。DMZ接口开放外网访问。关闭Netscreen的DHCP功能,由cisco的1812做DHCP及内网网关。

上海节点用户数较少,选用一台Juniper SSG-5防火墙,使用ADSL上网,trust接口允许访问外网,与昆山总厂建立VPN。无线路由WAN接口分配一个Trust接口网段的ip,LAN口随便分配一个网段,由于无线路由使用NAT地址转换,使用无线路由上网的用户可以正常使用公司网络及VPN。

配置注意事项:

昆山使用Cisco 1812做内网主路由,因此需要在昆山的防火墙增加一条静态路由192.168.0.0/24 192.168.11.253指向核心路由。否则会出现通Ping防火墙Trust接口正常,但是不能访问内部电脑的情况。

VPN使用策略路由,由于上海端还需要通过昆山的专线访问台湾总部,因此上海端VPN策略的Untrust IP为192.168.0.0/24及192.168.11.0/24,相应的也是昆山端的Trust IP。

同时还需要在昆山的Cisco路由器上设置源地址为192.168.10.0的上海网段,目的地址为192.168.0.0/24访问路由。由于客户修改核心交换机需要总部批准,所以采用在策略中使用“ Source Translation”将VPN的IP地址进行NAT转换。 否则会出现上海端访问台湾网段时,被Cisco 1812拦截的情况。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

深圳市原创科技有限公司
快速回复 返回顶部 返回列表