一、网络需求
V1600S以桥模式串接在RSR路由器底下,外网用户安装VPN客户端软件SRA
,拨通VPN并获取到虚拟IP地址后,实现访问内网的192.168.10.0网段的需求。
(本案例涉及到RG-SRA远程接入系统的安装,相关的安装使用请参照本案例集中
“RG-SRA远程接入系统的安装 ”说明)
二、网络拓扑
如下图所示,外用用户拨通IPSEC VPN后,获取到192.168.7.0/24的某个IP地址,然后访问对端内网的局域网:192.168.10.0/24
三、配置要点
1.RSR路由器的配置
1)配置RSR路由器
· 先保证内用的用户能正常访问互联网,
· 添加到VPN虚拟IP网段的静态路由
2)映射相关端口:映射与IPSEC VPN相关的 UDP:500和4500端口
2.V1600S的配置
1)配置访问规则,允许内网用户访问外网的数据通过桥组
(注:初始化的V1600S默认产生以下两条访问规则规则,序号为1的安全规则是对任何数据都是纯放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
2)配置IPSEC:
· 新建VPN用户
· 设置允许访问的内网网段
· 设置虚IP地址池(为外网VPN用户分配一个不与当前内网地址冲突的网段)
·
设置高级选项(选择 直接放行)
四、配置步骤
1.RSR路由器的配置
1)配置RSR路由器,先保证内用的用户能正常访问互联网
--------------以下配置 RSR路由器的内网用户的基本配置-----------------
interface
GigabitEthernet 0/0 //内网口
ip nat inside
ip address 192.168.10.1 255.255.255.0
interface
GigabitEthernet 0/1 //外网接口
ip nat outside
ip address 172.18.10.114 255.255.255.0
ip access-list
extended 110
//与NAT相关的ACL
10 permit ip any any
ip nat inside source list
110 pool nat_pool overload
ip nat pool nat_pool
prefix-length 24
address 172.18.10.114 172.18.10.114 match interface
GigabitEthernet 0/1
ip route 0.0.0.0
0.0.0.0 172.18.10.1 //配置去往外网的默认路由,外网网关地址为172.18.10.1
ip route 192.168.7.0
255.255.0.0 192.168.10.254//添加到对端虚拟地址网段的路由,下一跳地址为V1600S的桥接口IP:192.168.10.254
第二步:映射相关端口:映射与IPSEC VPN相关的
UDP:500和4500端口
-------以下配置是对内网的V1600S的IPSEC相关端口做映射-------------
ip nat inside source static
udp 192.168.10.254 500 172.18.10.114 500 permit-inside
ip nat inside source static
udp 192.168.10.254 4500 172.18.10.114 4500 permit-inside
2.V1600S的配置
1).配置访问规则,允许内网用户访问外网的数据通过桥组
----------以下配置V1600S的内网用户基本的上网配置--------------
· 配置桥模式下的桥接口IP ,及网关
·
把eth1和eth2加入到桥组
·
在对象定义中定义内网的用户网段
·
配置访问规则,允许内网用户访问外网的数据通过桥组
或者也可以不配置以上安全规则,默认情况下,V1600S初始化时就是放通任何的数据的,所以此处我们可以不新增访问规则
2)配置V1600S的IPSEC VPN
---------------------以下配置
V1600S的IPSEC VPN-----------------------
远程用户管理》本地用户数据库
1)新建VPN用户
此处新建了一个名称为 client 的用户
2)远程用户管理:设置外网用户允许访问的内网资源
3)虚IP地址池:给外网用户分配虚拟IP地址
4)高级选项:选择 直接放行
五、配置验证
客户端的安装请参考“VPN配置》VPN配套组建的安装使用”,安装成功后,按下图所示步骤一步步操作
