您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

总部及多分支机构间的VPN部署方案

时间:2019-07-30 13:29:44  来源:  作者:
总部及多分支机构间的VPN部署方案

 

一、%20场景需求

总部及多分支机构之间资源或文件共享,传统且常见的方式就是借助一些聊天工具、网络云盘、邮件等方式进行传输,甚至存储,但这些方式带来了便利的同时,也给文件或资源的共享、管理以及安全带来诸多问题,诸如:

1.%20总部与分支机构之间采用聊天工具或云盘方式传输或分享,导致文件或资源无法集中管理。

2.%20文件传输速率受制于App或云盘服务提供商的限制,无法最大化使用带宽传输,效率太低。

3.%20由于总部与分支机构之间往返传输文件或资源,经常导致存在有大量的重复性文件或资源,导致版本太多,管理混乱。

4.%20无法有效或快速协同/协作办公。

5.%20文件或资源存储在云盘或聊天工具服务器上的安全性问题,容易被服务提供商所使用或被“大数据”。

6.%20日常的聊天工具、邮件或文件传输,大都是以明文方式传输的,存在诸多安全风险,容易被窃取。

7.%20文件或资源的传输过程中容易被篡改,导致文件内容真实性或准确性发生变化。

 

基于以上情况,壹云小壹-小陈建议采用IPSEC%20VPN的点到多点的解决方案,该方案也是目前总部与分支机构之间采用的最常用最流行的VPN解决方案,它通过建立总部与分支机构之间经过认证可信的IPSEC%20VPN隧道进行通信,同时对传输数据进行加密处理,同时对数据的完整性进行验证,对数据源身份进行认证等方式,以实现总部与分支机构之间的通信及数据安全,防止数据被非法篡改,确保数据的真实性。

 

二、 方案思路

总部及多分支机构间的VPN部署方案

 

如上图示意,IPSEC VPN点到多点的方案并不复杂,壹云小壹提供以下准备工作和部署思路:

1. 总部及分支机构之间部署IPSEC VPN的设备,比如防火墙、路由器或VPN集中器等支持IPSEC VPN的设备。

2. 总部VPN设备出口需要配置静态公网IP地址(如下图所示采用VPN防火墙部署位置)或公网IP地址经过NAT地址映射后的私有地址(一般位于边界路由器后面,公网IP地址配置在路由器出口上)。

3. 分支机构的IPSEC VPN设备出口无需静态公网IP地址或映射。

4. 以下是根据以上示意拓扑图对VPN进行了简单规划,以一个总部和2个分支机构为例介绍。

总部及多分支机构间的VPN部署方案

 

三、 配置步骤

本配置步骤共分为两大部分,一是总部IPSEC VPN配置,二是分支机构的IPSEC VPN配置:

A.总部IPSEC VPN配置

第一步,配置IPSec安全提议

IPSec安全提议是安全策略或者安全框架的一个组成部分,它包括IPSec使用的安全协议、认证/加密算法以及数据的封装模式,定义了IPSec的保护方法,为IPSec协商SA提供各种安全参数。IPSec隧道两端设备需要配置相同的安全参数。

#ipsec proposal prop10516444584

encapsulation-mode auto //选择封装方式

esp authentication-algorithm sha2-256 //选择认证算法

esp encryption-algorithm aes-256 //选择加密算法

第二步,配置ike安全提议

IKE安全提议是IKE对等体的一个组成部分,定义了对等体进行IKE协商时使用的参数,包括加密算法、认证方法、认证算法、DH组和IKE安全联盟的生存周期。

#ike proposal 1

encryption-algorithm aes-256 //配置加密算法

dh group14 //配置dh组

authentication-algorithm sha2-256 //配置用户认证算法

authentication-method pre-share //配置用户身份验证方式

integrity-algorithm hmac-sha2-256 //配置用户完整性算法

prf hmac-sha2-256 //配置用户编码脉冲

第三步,配置ike Peer

配置IKE动态协商方式建立IPSec隧道时,需要引用IKE对等体,并配置IKE协商时对等体间的一系列属性。

# ike peer ike105164445848

exchange-mode auto //配置交换方式

pre-shared-key xxxxxxxxxxxx //配置预共享密钥

ike-proposal 1 //配置ike建议

remote-id-type none //配置远程id类型

local-id 1.1.3.1 //配置本地id

dpd type periodic //配置dpd类型

ike negotiate compatible //配置ike协商兼容

第四步,配置高级ACL

采用ACL方式建立IPSec隧道包括通过手工方式和IKE动态协商方式建立IPSec隧道。在对等体间镜像配置ACL,筛选出需要进入IPSec隧道的报文,ACL规则允许(permit)的报文将被保护,ACL规则拒绝(deny)的报文将不被保护。这种方式可以利用ACL配置的灵活性,根据IP地址、端口、协议类型等对报文进行过滤进而灵活制定安全策略。

# acl number 3000

rule 5 permit ip source address-set 10.1.1.1 destination address-set 10.1.2.1

rule 10 permit ip source address-set 10.1.1.1 destination address-set 10.1.3.1

第五步,配置IPSec策略模板

配置IPSec安全策略时,通过引用ACL和IPSec安全提议,将ACL定义的数据流和IPSec安全提议定义的保护方法关联起来,并可以指定SA的协商方式、IPSec隧道的起点和终点、所需要的密钥和SA的生存周期等。

# ipsec policy-template tpl105164445848 1

security acl 3000 //配置相应的安全策略

ike-peer ike105164445848 //配置ike peer

proposal prop10516444584 //配置提议支撑

tunnel local 1.1.3.1 //配置本地地址

alias 001 //配置别名

sa duration traffic-based 10485760 //配置sa持续流量

sa duration time-based 3600 //配置sa持续时间

第六步,调用IPSec策略模板

ipsec policy ipsec1051644458 10000 isakmp template tpl105164445848

第七步,将策略应用到接口上

为使接口能对数据流进行IPSec保护,需要在该接口上应用一个IPSec安全策略组。当取消IPSec安全策略组在接口上的应用后,此接口便不再具有IPSec的保护功能。

# interface GigabitEthernet1/0/1

undo shutdown

ip address 1.1.3.1 255.255.255.0

ipsec policy ipsec1051644458

B.分支机构的IPSEC VPN配置

第一步,配置IPSec安全提议

IPSec安全提议是安全策略或者安全框架的一个组成部分,它包括IPSec使用的安全协议、认证/加密算法以及数据的封装模式,定义了IPSec的保护方法,为IPSec协商SA提供各种安全参数。IPSec隧道两端设备需要配置相同的安全参数。

# ipsec proposal prop1451731338

encapsulation-mode auto //选择封装方式

esp authentication-algorithm sha2-256 //选择认证算法

esp encryption-algorithm aes-256 //选择加密算法

第二步,配置ike安全提议

IKE安全提议是IKE对等体的一个组成部分,定义了对等体进行IKE协商时使用的参数,包括加密算法、认证方法、认证算法、DH组和IKE安全联盟的生存周期。

# ike proposal 1

encryption-algorithm aes-256 //配置加密算法

dh group14 //配置dh组

authentication-algorithm sha2-256 //配置用户认证算法

authentication-method pre-share //配置用户身份验证方式

integrity-algorithm hmac-sha2-256 //配置用户完整性算法

prf hmac-sha2-256 //配置用户编码脉冲

第三步,配置ike Peer

配置IKE动态协商方式建立IPSec隧道时,需要引用IKE对等体,并配置IKE协商时对等体间的一系列属性。

# ike peer ike1451731338

exchange-mode auto //配置交换方式

pre-shared-key xxxxxxxxxxxx //配置预共享密钥

ike-proposal 1 //配置ike建议

remote-id-type ip //配置远程id类型

remote-id 1.1.3.1 //配置对端id

local-id 1.1.5.1 //配置本地id

dpd type periodic //配置dpd类型

remote-address 1.1.3.1

第四步,配置高级ACL

采用ACL方式建立IPSec隧道包括通过手工方式和IKE动态协商方式建立IPSec隧道。在对等体间镜像配置ACL,筛选出需要进入IPSec隧道的报文,ACL规则允许(permit)的报文将被保护,ACL规则拒绝(deny)的报文将不被保护。这种方式可以利用ACL配置的灵活性,根据IP地址、端口、协议类型等对报文进行过滤进而灵活制定安全策略。

# acl number 3000

rule 5 permit ip source address-set 10.1.2.1 destination address-set 10.1.1.1

第五步,配置IPSec策略

配置IPSec安全策略时,通过引用ACL和IPSec安全提议,将ACL定义的数据流和IPSec安全提议定义的保护方法关联起来,并可以指定SA的协商方式、IPSec隧道的起点和终点、所需要的密钥和SA的生存周期等。

# ipsec policy ipsec1451731329 1 isakmp

security acl 3000 //配置相应的安全策略

ike-peer ike1451731338 //配置ike peer

proposal prop1451731338 //配置提议支撑

tunnel local applied-interface //配置隧道局部应用界面

alias 001 //配置别名

sa trigger-mode auto // 配置sa触发模式自动

sa duration traffic-based 10485760 //配置sa持续流量

sa duration time-based 3600 //配置sa持续时间

第六步,将策略应用到接口上

为使接口能对数据流进行IPSec保护,需要在该接口上应用一个IPSec安全策略组。当取消IPSec安全策略组在接口上的应用后,此接口便不再具有IPSec的保护功能。

# interface GigabitEthernet1/0/1

undo shutdown

ip address 1.1.5.1 255.255.255.0

ipsec policy ipsec1451731329

四、 效果验证

1. 通过IPSEC监控列表查看一下IPSEC协商是否成功,如下图示意。

2. 通过总部与分支机构之间的内部文件/资源共享或应用程序是否可以直接使用。



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: VPN  点击:(39)  评论:(0)  加入收藏
在昨天的微信《远程办公危机四伏,到底该pick谁给你保驾护航?》中介绍了远程员工应该具备的四大安全工具,今天继续分享干货:05 双因子令牌在理想的情况下,每个人都会对所有的关键...【详细内容】
2021-10-26  Tags: VPN  点击:(32)  评论:(0)  加入收藏
本报记者 裴昱 北京报道在中国加入WTO 20周年之际,多项领域的对外开放正在持续深入,这其中,普遍被外界认为是敏感领域的电信增值业务,也迎来了更大力度的开放措施,而且,此次开放进...【详细内容】
2021-10-21  Tags: VPN  点击:(47)  评论:(0)  加入收藏
据ExpressVPN 9月16日报道,ExpressVPN 9月16日宣布加入伦敦证券交易所上市公司Kape Technologies的计划,以提升其推进数字版权的能力及加速成为数字隐私领域的全球领导者。两...【详细内容】
2021-09-17  Tags: VPN  点击:(79)  评论:(0)  加入收藏
VPN英文全称是“Virtual Private Network”,也就是“虚拟专用网络”。虚拟专用网络就是一种虚拟出来的企业内部专用线路、这条隧道可以对数据进行几倍加密达到安全使用互联网...【详细内容】
2021-09-14  Tags: VPN  点击:(45)  评论:(0)  加入收藏
养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。 更新 CentOS 软件包yum -y update虽然也是可以不进行更新直接安装。安装 OpenVPN 和...【详细内容】
2021-09-02  Tags: VPN  点击:(105)  评论:(0)  加入收藏
VPN详解一、VPN介绍 什么是vpn?# VPN是虚拟专用网络的缩写,它是两个或多个物理网络(或设备)之间沟通互联网/公共网络创建的虚拟网络,可以为企业之间或者个人与企业之间提供安...【详细内容】
2021-09-02  Tags: VPN  点击:(65)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: VPN  点击:(509)  评论:(0)  加入收藏
Virtual Private Network翻译为虚拟专用网络,简称VPN,多用于企业网络,还用于网络游戏加速。VPN通过在公用网络(因特网或其他专用网络)上建立专用网络,进行加密通讯,常用协议有PPT...【详细内容】
2021-06-09  Tags: VPN  点击:(401)  评论:(0)  加入收藏
如今,大家对于VPN的使用已是家常便饭,各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我?面对层出不穷的新技术,我该如何进行选择?下面要介绍的这个案例或许可以为我们提供...【详细内容】
2021-06-01  Tags: VPN  点击:(171)  评论:(0)  加入收藏
▌简易百科推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  K佬食古    Tags:shell   点击:(2)  评论:(0)  加入收藏
步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情:[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】
2021-12-24  忆梦如风    Tags:网卡   点击:(10)  评论:(0)  加入收藏
1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解:find –name 主要用于查找某个文件名字,-exec 、xargs可...【详细内容】
2021-12-17  郭主任    Tags:运维   点击:(20)  评论:(0)  加入收藏
对于经常上网的朋友来说,除了手机购物上网,pc端玩网页游戏还是很多小伙伴首选的,但是有时候明明宽带链接上了,打开浏览器却出现上不了网的现象,下面小编要来跟大家说说电脑有网络...【详细内容】
2021-12-16  小白系统    Tags:网页无法打开   点击:(28)  评论:(0)  加入收藏
在访问像github、gitlab这样的外国网站时,很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题,于是把Wifi断掉连上自己手机的热点,结果却还...【详细内容】
2021-12-15  启施技术IT狼叔    Tags:外网   点击:(16)  评论:(0)  加入收藏
网络地址来源:获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】
2021-12-15  韦廷华12    Tags:外网ip   点击:(15)  评论:(0)  加入收藏
准备好软件IPOP、用ENSP模拟一下华为交换机 启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】
2021-12-15  思源Edward    Tags:交换机   点击:(24)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  K佬食古    Tags:netstat   点击:(19)  评论:(0)  加入收藏
什么是滑动窗口?窗口是操作系统开辟的一块缓存空间,发送方在收到接收方ACK应答之前,必须在缓冲区保留已发送的数据,如果按期收到确认应答,数据就可以从缓冲区移除。什么是滑动窗...【详细内容】
2021-12-14  DifferentJava    Tags:TCP   点击:(30)  评论:(0)  加入收藏
概述日常管理华为路由设备过程中,难为会忘记设备登录密码,那么该如何重置设备登录密码吗?本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行 采用console登录...【详细内容】
2021-12-10  onme0    Tags:   点击:(27)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条