三星Ubigate系列簡單VPN配置實例講解
隨著社會的發展,企業日益擴張,客戶分布日益廣泛,合作伙伴日益增多,這種情況使傳統企業網絡的功能缺陷越來越凸現,各公司均根據行業特點在在企業總部部署如OA系統、ERP系統、財務系統、CRM客戶資源管理系統等應用軟件,將企業分布在各地的分支機構和辦事處與企業總部互聯,達到安全地數據和軟件資源共享的目的,于是用戶對于自身的網絡建設提出了更高的需求,其中針對網絡的靈活性、高安全性、經濟性、可擴展性等方面尤為關注。VPN(Virtual Private Network虛擬專用網)技術的出現,為在公共網絡上建立安全的Intranet、點到點連接等分布應用提供了良好的技術手段。隨著VPN技術的不斷完善,其管理簡單、靈活性高、費用低廉的優點已成為構建內部廣域網絡的首要選擇。傳統的企業網絡解決方案需要VPN網關、防火墻、交換三類設備,對安全比較注重的企業還要考慮布置IDS/IPS(入侵檢測/防御系統)等,用分體的設備無疑會增加成本,同時可能故障點會增多,管理較為復雜,SAMSUNG充分考慮信息化投資效果,推出了集路由交換、VPN、防火墻、VOIP于一體的模塊化的Ubigate系列產品,為企業網絡提供了全面的、高效率、可擴展的、安全的VPN解決方案。
什么是VPN?
VPN是指在共用網絡上建立專用網絡的技術。之所以稱為虛擬網主要是因為整個 VPN網絡的任意兩個結點之間的連接并沒有傳統專網建設所需的點到點的物理鏈路,而是架構在公用網絡服務商ISP所提供的網絡平臺之上的邏輯網絡。用戶的數據是通過ISP在公共網絡(Internet)中建立的邏輯隧道(Tunnel),即點到點的虛擬專線進行傳輸的。通過相應的加密和認證技術來保證用戶內部網絡數據在公網上安全傳輸,從而真正實現網絡數據的專有性。
VPN是企業網在因特網等公共網絡上的延伸,它能在公共網絡上創建一個安全的私有連接,因此讓公司的遠程用戶、分支機構、業務伙伴等與公司的企業網連接起來,構成一個擴展的企業網。
三星Ubigate系列網絡產品在實施VPN的方面有很強的優勢
在利用Ubigate產品進行VPN網絡組建的時候,數據鏈路的傳輸首先會基于網絡層進行IPSec加密,然后對于基于鏈路層進行MAC地址綁定,同時可以利用Ubigate的AAA服務器功能進行用戶身份的驗證、授權、統計進行統一管理,同時ISM模塊中的IDS/IPS入侵檢測系統、防病毒功能對于所有流量進行實施監控探測,從而真正實現立體式安全VPN隧道
高速VPN隧道機制
為解決現有普遍存在的VPN速度慢問題,Ubigate為用戶提供了1000M的LAN / WAN接入速率,Ubigate同時具備PPP鏈路封裝及PAP、CHAP驗證,可以現有的ADSL、VDSL、HDSL等寬帶接入技術的進行完整功能支持,可以直接與公網相連并進行寬帶撥號,從而最大限度的提高了VPN隧道的接入速度。
SAMSUNG Ubigate iBG 3026作為VPN的服務器端,可同時接受2000個并發VPN撥號的連接(L2TP)——也就是說分公司能同時有2000人撥號到總公司上來。小型分公司的人員或者正在移動辦公中的人員皆可采取L2TP的撥號方式(WIN 2000/XP/2003皆有自帶的撥號軟件)與總公司間進行互聯。
軟、硬全功能VPN
VPN可分為硬件VPN和軟件VPN。實施了 Ubigate iBG 3026設備進行VPN對接的時候,可以實現軟、硬全功能VPN接入,Ubigate iBG系列產品特有的VAC增強卡不但可以為用戶提供更多的VPN連接數目,同時采用IPSec的隧道加密機制,從根本上保證了用戶數據的安全性。各個分公司機構可根據自身情況選擇用硬件或者是軟件與總公司進行VPN互聯。不同的分公司可選擇不同的VPN連接方式,只需要在總公司Ubigate設備中進行少量簡單配置便能輕松實現多種VPN接入。
下面就以一個簡單的實例給大家呈現三星Ubigate iBG系列產品的VPN配置方法。
配置實例如下:
配置IPSec VPN
配置分公司端設備
配置端口地址
Ibg01/configure# interface ethernet 0/2
Ibg01/configure/interface/ethernet (0/2)#
Ibg01/configure/interface/ethernet (0/2)# ip address 160.0.1.1/24
Ibg01/configure/interface/ethernet (0/2)# end
Ibg01/configure# interface ethernet 2/0
Ibg01/configure/interface/ethernet (2/0)#
Ibg01/configure/interface/ethernet (2/0)# ip address 170.0.1.1/24
Ibg01/configure/interface/ethernet (2/0)# end
啟用防火墻策略
Ibg01/configure# firewall internet
Ibg01/configure/firewall internet# interface ethernet0/2
Ibg01/configure/firewall internet# policy 1022 in self
ibg01/configure/firewall internet/policy 1022 in# exit
ibg01/configure/firewall internet#
ibg01/configure# firewall corp
ibg01/configure/firewall corp# interface ethernet2/0
ibg01/configure/firewall corp# policy 1021 in
ibg01/configure/firewall corp/policy 1021 in# exit
ibg01/configure/firewall corp#
查看端口在防火墻的網絡類型
ibg01# show firewall interface all
Interface Map Name
--------- --------
ethernet0/2 internet
ethernet2/0 corp
配置crypto ike策略
Ibg01/configure# crypto
Ibg01/configure/crypto# ike policy pol1 160.0.1.2
Ibg01/configure/crypto/ike/policy pol1 160.0.1.2# local-address 160.0.1.1
Default proposal created with priority1-des-sha1-pre_shared-g1
Key String has to be configured by the user
配置crypto ike策略密鑰
Ibg01/configure/crypto/ike/policy pol1 160.0.1.2# key samsung123
查看IKE信息
ibg01/configure/crypto/ike/policy pol1 160.0.1.2# show crypto ike policy pol1 detail
Policy name pol1, Local addr 160.0.1.1, Peer addr 160.0.1.2
Main mode, Initiator and Responder, PFS is not enabled, Shared Key is *****
Local ident 160.0.1.1 (ip-address), Remote Ident 160.0.1.2 (ip-address)
NGM attributes not configured
OCSP is not enabled
Proposal of priority 1
Encryption algorithm: des
Hash Algorithm: sha1
Authentication Mode: pre-shared-key
DH Group: group1
Lifetime in seconds: 86400
Lifetime in kilobytes: unlimited
配置crypto ipsec策略
ibg01/configure# crypto
ibg01/configure/crypto# ipsec policy pol1 160.0.1.2
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# match address 170.0.1.0/24 170.0.5.0/24
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# proposal 1
查看ipsec策略
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# show crypto ipsec policy pol1
Policy Peer Match Proto Transform
------ ---- ----- ----- ---------
pol1 160.0.1.2 S 170.0.1.0/24/any Any P1 esp-3des-sha1-tunl
D 170.0.5.0/24/any
總公司端設備作同樣的配置如下:
Ibg01/configure# interface ethernet 0/2
Ibg01/configure/interface/ethernet (0/2)#
Ibg01/configure/interface/ethernet (0/2)# ip address 160.0.1.2/24
Ibg01/configure/interface/ethernet (0/2)#exit
Ibg01/configure# interface ethernet 2/0
Ibg01/configure/interface/ethernet (2/0)#
Ibg01/configure/interface/ethernet (2/0)# ip address 170.0.5.1/24
Ibg01/configure/interface/ethernet (2/0)# exit
Ibg02/configure# firewall internet
Ibg02/configure/firewall internet# interface ethernet0/2
Ibg02/configure/firewall internet# policy 1022 in self
ibg02/configure/firewall internet/policy 100 in# exit
ibg02/configure/firewall internet#exit
ibg02/configure# firewall corp
ibg02/configure/firewall corp# interface ethernet2/0
ibg02/configure/firewall corp# policy 1021 in
ibg02/configure/firewall corp/policy 1021 in# exit 3
ibg02/configure/firewall corp#exit
ibg02/configure# crypto
ibg02/configure/crypto#
ibg02/configure/crypto# ike policy pol1 160.0.1.1
ibg02/configure/crypto/ike/policy pol1 160.0.1.1# local-address 160.0.1.2
ibg02/configure/crypto/ike/policy pol1 160.0.1.1# key samsung123
ibg02/configure/crypto/ike/policy pol1 160.0.1.1#exit
ibg02/configure# crypto
ibg02/configure/crypto# ipsec policy pol1 160.0.1.1
ibg02/configure/crypto/ipsec/policy pol1 160.0.1.1# match address 170.0.5.0/24 170.0.1.0/24
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.1# proposal 1
檢查Ipsec VPN的詳細情況
show crypto ike policy poll detail
show crypto ipsec policy poll
debug crypto all
DEBUG Crypto 所有信息
ibg02# debug crypto all
(新聞稿 2008-04-03)
