H3C Aolynk BR304+增强型智能安全路由器企业组网方案
1.企业典型需求
. 对于一个公司或集团,其组织结构往往非常复杂,通常都由若干个分公司、办事处
等组成;为了提高工作和通信的效率,就需要组建一个公司网络,把这些大量的分 布于不同地理位置的机构和办事处与公司总部有机的联系起来,由于地理位置等因
素,通过专线的方式来组建公司网络,从经济上来考虑显然是不合理的。所以需要设备可以通过 Internet 基础网络来把各个分公司、办事处等连接到公司总部,而且 必须保证公司内部的数据在公共网络上传输的安全。 原来各分公司的每台 PC 需要手工设置网络参数,现希望可以自动分配。
2.组网配置方案
. 本方案采用 BR304+增强型智能安全路由器作为用于分公司、办事处等分支节点的
设备,该路由器广泛适用于各连锁超市,连锁药房,水陆航空售票,×××销售,以及各专用网络建设(如医保,福利,公安,气象,水利,交通等)。BR304+作为中小企业局域网的网关,使局域网内用户接入 Internet,BR304+还可以作为 DHCP 服务器,给 LAN 内PC 分配 IP 地址。 为满足以上典型需求,以下面具体的组网配置方案为例进行说明:
公司总部有N台服务器,用于业务数据库,考勤记录,物流,财务等。这些服务器一般在公司的内部,假设IP地址为10.1.1.0/24,分公司通过BR304+拨号连接到internet,BR304+开启NAT功能,使得分公司员工访问internet的数据通过NAT后到外网
BR304+的拨号方式为pppoE。pppoE用户名为aolynk,密码为BR304+
启用DHCP服务器,分配给DHCP客户端设备的IP地址范围为192.168.1.2-192.168.1.51。
分公司员工要访问公司总部的数据需要通过vpn来访问,这种访问一般数据流量不是太大,所以BR304+提供的宽带可以满足这种需求。未来管理上的方便,提供足够的安全性,这里可以通过IKE方式协商IPSEC隧道,IKE和 IPSec 的加密和验证算法分别使用强度最高的3DES 和 SHA1,生存期为 1小时,且使能PFS 功能增加安全性。通常情况下 BR304+的拨号方式是PPPoE或 DHCP 动态获取地址的形式,所以这里通过野蛮模式来和对端建立××× 隧道。
3.组网图
图(一)
4.配置步骤
运行Web浏览器,在地址栏中输入“http://192.168.1.1”(如果用户已经更改地址,
则需要输入新地址),按回车后出现登录对话框。在登录对话框中输入缺省的管理
员用户名:admin,密码:admin ( 如果用户已经更改密码,则需要输入新密码 ) ,单
击<确定>按钮后便可进入Web配置页面
1. 配置因特网接入方式
单击导航栏中的“WAN Setup”链接首先就进入广域网配置页面,如图二所示,并按图示进行配置,缺省接入方式是“ PPPoE ”,填入用户名和密码,空闲自动挂断时间和最大传输单元就取缺省值。配置完成后,单击导航栏中的“ Status ”进入状态页面,如果页面如图三所示,则表示配置成功。
图(二)
图(三)
2. 启用DHCP服务器
单击导航栏中的“ LAN Setup ”链接进入局域网配置页面,在该页面中单击“ DHCP ”页签进入如图四所示页面,设备缺省为启用本地 DHCP 服务器,并且本地域名缺省为“local.lan”,按图示进行配置起始和终止的IP地址(需求中的起始和终止的IP地址正好和缺省的IP地址一样),。
图(四)
3. 配置IPSec ×××参数
×××设置的步骤,单击导航栏中的“×××”链接,进入×××设置页面,单
击该页面中的<Create Tunnel>按钮,进入创建×××页面。然后作以下相关配置。
(1) IPSec 安全配置
首先考虑IPSec安全配置的参数。隧道名可以直接指定,这个参数不影响使用,这
里用“tocompany”;本地安全组为LAN网段地址,本地安全网关就是WAN业务
接口,这里为“ipwan”;远端安全组为公司总部的内网网段地址,远端安全网关为
公司总部IPSec接入设备的外网地址,这里为20.1.1.10;为了数据的安全传输,这
里选择安全强度最高的加密验证算法,分别为“3DES”和“SHA1”;生存期的设
置要适中,太长不安全,太短设备和网络开销比较大,所以这里设置为 1 小时;为
了隧道协商的安全,开启PFS功能,假设这里选择“1024-bit”,选择这个参数是
从安全和性能两方面来考虑,取折中的方案;位数越大,安全性越高,但计算时间
也越长,同时还要考虑隧道对端设备是否支持这些参数。所以IPSec安全配置如下
图所示:
图(五)
(2) 密钥管理配置
为了管理方便,密钥管理选择自动方式;由于分公司的设备一般是在ISP申请上网
业务,为了节约成本,一般是使用动态拨号上网,所以地址一般是不固定的;为了
公司总部的×××接入设备的维护方便,这里选择野蛮模式来协商IKE SA,ID类型
就用“Name”方式,假设本地的ID为“BR304+_A”,总公司接入×××设备的ID
为“Company”;为了提高安全性,这里的加密验证选择“3DES”和“SHA1”,
IKE Group 为“1024-bit”,共享密钥假设为“12345678”;从安全和设备开销的
角度来说,生存期要适中,这里设置为1小时,BR304+的密钥管理配置如下图所示。
图(六)
配置完上面的参数后,单击图六中的<Apply>按钮,创建这条隧道,如下页面将列
出刚才配置的隧道。
图(七)
(3) 开启IPSec功能
单击图 6-7中的<Enable>按钮,就可以开启IPSec功能了。
以上就是配置 IPSec ××× 参数的步骤。
业务拨号成功后,可以通过分公司局域网内部的 PC 来 Ping 公司总部的服务器 IP
地址。如果 ping 得通,说明 IPSec ××× 隧道建立成功。
另外,用分公司局域网内部的 PC 来访问外网地址,如果可以正常的访问,说明分
公司局域网内的计算机通过 NAT 可以正常访问 Internet 。
4. 保存配置
当完成所有的配置后请单击导航栏内的“ Save Config ”进入保存配置页面,单击
<Save> 按钮进行保存,如图八所示,使得下次设备重启后这些配置能生效,保存
后如图九所示,则保存配置成功。
图(八)
图(九)
5.×××接入设备的有关配置
公司总部的×××接入设备的配置和BR304+的配置是类似的,具体的配置需要参考
不同的厂家的设备,本案例使用 AR46 为总公司的 ××× 接入设备,具体的配置如下:
1. 配置 IPSec 的配置,这里对应 BR304+ 的配置 IPSec ××× 参数的步骤 1
#配置 ACL 规则[ar46-acl-adv-3001]rule permit ip source 10.1.1.0 0.0.0.255 destination
192.168.1.0 0.0.0.255
#配置 IPSec 的提议
[ar46]ipsec proposal ipsec_pro_1
[ar46-ipsec-proposal-ipsec_pro_1]encapsulation-mode tunnel
[ar46-ipsec-proposal-ipsec_pro_1]esp authentication-algorithm sha1
[ar46-ipsec-proposal-ipsec_pro_1]esp encryption-algorithm 3des
#配置 IPSec 策略
[ar46]ipsec policy tunneltoBR304+ 1 isakmp
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]security acl 3001
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]ike-peer ike_peer_aggr
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]pfs dh-group2
[ar46-ipsec-policy-isakmp-tunneltobr304+-1]proposal ipsec_pro_1
#配置接口地址
[ar46-Ethernet1/1]ip address 20.1.1.10 255.255.255.0
[ar46-Ethernet1/0]ip address 10.1.1.1 255.255.255.0
#在接口上应用IPSec策略
[ar46-Ethernet1/1]ipsec policy tunneltobr304+
2. IKE密钥管理配置,这里对应BR304+的配置IPSec ×××参数的步骤2
#配置IKE Proposal
[ar46]ike proposal 1
[ar46-ike-proposal-1]authentication-algorithm sha
[ar46-ike-proposal-1]encryption-algorithm 3des-cbc
[ar46-ike-proposal-1]dh group2
#配置 IKE 本地名字
[ar46]ike local-name Company
#配置 IKE peer
[ar46]ike peer ike_peer_aggr
[ar46-ike-peer-ike_peer_aggr]exchange-mode aggressive