H3C Aolynk BR304+增強型智能安全路由器企業組網方案
1.企業典型需求
. 對于一個公司或集團,其組織結構往往非常複雜,通常都由若幹個分公司、辦事處
等組成;為了提高工作和通信的效率,就需要組建一個公司網絡,把這些大量的分 布于不同地理位置的機構和辦事處與公司總部有機的聯系起來,由于地理位置等因
素,通過專線的方式來組建公司網絡,從經濟上來考慮顯然是不合理的。是以需要裝置可以通過 Internet 基礎網絡來把各個分公司、辦事處等連接配接到公司總部,而且 必須保證公司内部的資料在公共網絡上傳輸的安全。 原來各分公司的每台 PC 需要手工設定網絡參數,現希望可以自動配置設定。
2.組網配置方案
. 本方案采用 BR304+增強型智能安全路由器作為用于分公司、辦事處等分支節點的
裝置,該路由器廣泛适用于各連鎖超市,連鎖藥房,水陸航空售票,×××銷售,以及各專用網絡建設(如醫保,福利,公安,氣象,水利,交通等)。BR304+作為中小企業區域網路的網關,使區域網路内使用者接入 Internet,BR304+還可以作為 DHCP 伺服器,給 LAN 内PC 配置設定 IP 位址。 為滿足以上典型需求,以下面具體的組網配置方案為例進行說明:
公司總部有N台伺服器,用于業務資料庫,考勤記錄,物流,财務等。這些伺服器一般在公司的内部,假設IP位址為10.1.1.0/24,分公司通過BR304+撥接上網到internet,BR304+開啟NAT功能,使得分公司員工通路internet的資料通過NAT後到外網
BR304+的撥号方式為pppoE。pppoE使用者名為aolynk,密碼為BR304+
啟用DHCP伺服器,配置設定給DHCP用戶端裝置的IP位址範圍為192.168.1.2-192.168.1.51。
分公司員工要通路公司總部的資料需要通過vpn來通路,這種通路一般資料流量不是太大,是以BR304+提供的寬帶可以滿足這種需求。未來管理上的友善,提供足夠的安全性,這裡可以通過IKE方式協商IPSEC隧道,IKE和 IPSec 的加密和驗證算法分别使用強度最高的3DES 和 SHA1,生存期為 1小時,且使能PFS 功能增加安全性。通常情況下 BR304+的撥号方式是PPPoE或 DHCP 動态擷取位址的形式,是以這裡通過野蠻模式來和對端建立××× 隧道。
3.組網圖
圖(一)
4.配置步驟
運作Web浏覽器,在位址欄中輸入“http://192.168.1.1”(如果使用者已經更改位址,
則需要輸入新位址),按回車後出現登入對話框。在登入對話框中輸入預設的管理
員使用者名:admin,密碼:admin ( 如果使用者已經更改密碼,則需要輸入新密碼 ) ,單
擊<确定>按鈕後便可進入Web配置頁面
1. 配置網際網路接入方式
單擊導航欄中的“WAN Setup”連結首先就進入廣域網配置頁面,如圖二所示,并按圖示進行配置,預設接入方式是“ PPPoE ”,填入使用者名和密碼,空閑自動挂斷時間和最大傳輸單元就取預設值。配置完成後,單擊導航欄中的“ Status ”進入狀态頁面,如果頁面如圖三所示,則表示配置成功。
圖(二)
圖(三)
2. 啟用DHCP伺服器
單擊導航欄中的“ LAN Setup ”連結進入區域網路配置頁面,在該頁面中單擊“ DHCP ”頁簽進入如圖四所示頁面,裝置預設為啟用本地 DHCP 伺服器,并且本地域名預設為“local.lan”,按圖示進行配置起始和終止的IP位址(需求中的起始和終止的IP位址正好和預設的IP位址一樣),。
圖(四)
3. 配置IPSec ×××參數
×××設定的步驟,單擊導航欄中的“×××”連結,進入×××設定頁面,單
擊該頁面中的<Create Tunnel>按鈕,進入建立×××頁面。然後作以下相關配置。
(1) IPSec 安全配置
首先考慮IPSec安全配置的參數。隧道名可以直接指定,這個參數不影響使用,這
裡用“tocompany”;本地安全組為LAN網段位址,本地安全網關就是WAN業務
接口,這裡為“ipwan”;遠端安全組為公司總部的内網網段位址,遠端安全網關為
公司總部IPSec接入裝置的外網位址,這裡為20.1.1.10;為了資料的安全傳輸,這
裡選擇安全強度最高的加密驗證算法,分别為“3DES”和“SHA1”;生存期的設
置要适中,太長不安全,太短裝置和網絡開銷比較大,是以這裡設定為 1 小時;為
了隧道協商的安全,開啟PFS功能,假設這裡選擇“1024-bit”,選擇這個參數是
從安全和性能兩方面來考慮,取折中的方案;位數越大,安全性越高,但計算時間
也越長,同時還要考慮隧道對端裝置是否支援這些參數。是以IPSec安全配置如下
圖所示:
圖(五)
(2) 密鑰管理配置
為了管理友善,密鑰管理選擇自動方式;由于分公司的裝置一般是在ISP申請上網
業務,為了節約成本,一般是使用動态撥号上網,是以位址一般是不固定的;為了
公司總部的×××接入裝置的維護友善,這裡選擇野蠻模式來協商IKE SA,ID類型
就用“Name”方式,假設本地的ID為“BR304+_A”,總公司接入×××裝置的ID
為“Company”;為了提高安全性,這裡的加密驗證選擇“3DES”和“SHA1”,
IKE Group 為“1024-bit”,共享密鑰假設為“12345678”;從安全和裝置開銷的
角度來說,生存期要适中,這裡設定為1小時,BR304+的密鑰管理配置如下圖所示。
圖(六)
配置完上面的參數後,單擊圖六中的<Apply>按鈕,建立這條隧道,如下頁面将列
出剛才配置的隧道。
圖(七)
(3) 開啟IPSec功能
單擊圖 6-7中的<Enable>按鈕,就可以開啟IPSec功能了。
以上就是配置 IPSec ××× 參數的步驟。
業務撥号成功後,可以通過分公司區域網路内部的 PC 來 Ping 公司總部的伺服器 IP
位址。如果 ping 得通,說明 IPSec ××× 隧道建立成功。
另外,用分公司區域網路内部的 PC 來通路外網位址,如果可以正常的通路,說明分
公司區域網路内的計算機通過 NAT 可以正常通路 Internet 。
4. 儲存配置
當完成所有的配置後請單擊導航欄内的“ Save Config ”進入儲存配置頁面,單擊
<Save> 按鈕進行儲存,如圖八所示,使得下次裝置重新開機後這些配置能生效,儲存
後如圖九所示,則儲存配置成功。
圖(八)
圖(九)
5.×××接入裝置的有關配置
公司總部的×××接入裝置的配置和BR304+的配置是類似的,具體的配置需要參考
不同的廠家的裝置,本案例使用 AR46 為總公司的 ××× 接入裝置,具體的配置如下:
1. 配置 IPSec 的配置,這裡對應 BR304+ 的配置 IPSec ××× 參數的步驟 1
#配置 ACL 規則[ar46-acl-adv-3001]rule permit ip source 10.1.1.0 0.0.0.255 destination
192.168.1.0 0.0.0.255
#配置 IPSec 的提議
[ar46]ipsec proposal ipsec_pro_1
[ar46-ipsec-proposal-ipsec_pro_1]encapsulation-mode tunnel
[ar46-ipsec-proposal-ipsec_pro_1]esp authentication-algorithm sha1
[ar46-ipsec-proposal-ipsec_pro_1]esp encryption-algorithm 3des
#配置 IPSec 政策
[ar46]ipsec policy tunneltoBR304+ 1 isakmp
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]security acl 3001
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]ike-peer ike_peer_aggr
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]pfs dh-group2
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]proposal ipsec_pro_1
#配置接口位址
[ar46-Ethernet1/1]ip address 20.1.1.10 255.255.255.0
[ar46-Ethernet1/0]ip address 10.1.1.1 255.255.255.0
#在接口上應用IPSec政策
[ar46-Ethernet1/1]ipsec policy tunneltobr304+
2. IKE密鑰管理配置,這裡對應BR304+的配置IPSec ×××參數的步驟2
#配置IKE Proposal
[ar46]ike proposal 1
[ar46-ike-proposal-1]authentication-algorithm sha
[ar46-ike-proposal-1]encryption-algorithm 3des-cbc
[ar46-ike-proposal-1]dh group2
#配置 IKE 本地名字
[ar46]ike local-name Company
#配置 IKE peer
[ar46]ike peer ike_peer_aggr
[ar46-ike-peer-ike_peer_aggr]exchange-mode aggressive