程序博客网 > 英国学校gpa算法

防火墙设置BOVPN SWITCH

来源:互联网 发布:英国学校gpa算法 编辑:程序博客网 时间:2024/06/11 02:17

BOVPN SWITCH是用来把各地的BOVPN当成一个大的局域网。

配置手动 Branch Office VPN tunnel 切换

如果有两个或更多的远程 BOVPN 隧道连接到您的网络,并且您希望这些远程网络中的计算机可以互相交换数据,那么您必须配置隧道切换。 设置隧道切换后,Firebox 会解密发自某个 VPN 的数据包,然后将重新加密的数据包发送至另一个 VPN 中的目的地。

本文档不会详细描述 BOVPN 配置各对话框中各个设置的含义或者这些设置对已建隧道会造成哪些影响。 如果想了解关于某一特定设置或手动 BOVPN 隧道的更多详情,请参阅关于手动 BOVPN 隧道。

隧道切换配置要求您了解如何创建手动 Branch Office Virtual Private Network(手动 BOVPN)。

BOVPN 隧道切换应用场景

在下面的练习中,我们将会在 Fireware 11 XTM 中配置隧道切换,它在中央办公室使用 Firebox Core X750e,在远程办公室 A 使用 Firebox Edge X55e-W,而在远程办公室 B 使用 Firebox Edge X10e。下图显示了此例中的隧道切换配置:

 

站点 1(中央办公室) Core X750e

外部接口 IP 地址: 50.50.50.10/24

默认网关: 50.50.50.1

可信任接口 IP 地址: 10.10.10.1/24

专用网络 IP 地址: 10.10.10.0/24

站点 2(远程办公室 A)Edge X55e-W

外部接口 IP 地址: 60.60.60.20/24

默认网关: 60.60.60.1

可信任接口 IP 地址: 172.16.20.1/24

专用网络 IP 地址: 172.16.20.0/24

站点 3(远程办公室 B)Edge X10e

外部接口 IP 地址: 70.70.70.30/24

默认网关: 70.70.70.1

可信任接口 IP 地址: 192.168.30.1/24

专用网络 IP 地址: 192.168.30.0/24

概述

在这个例子中,我们将演示如何将远程办公室 A 的可信任网络所产生的流量发送至远程办公室 B 的可信任网络,而无需在两个远程办公室间创建第三个 BOVPN 隧道。 这个应用场景对于控制中央办公室的网络安全是很实用的,因为它能帮助您将策略应用于中央办公室两个隧道之间的流量。

此外,我们将为每个可信任网络在其各自的位置上定义真实的子网,而不会在中央办公室和远程办公室之间创建默认路由隧道。 这么做是为了保留每个位置的拆分隧道。 因此,我们要尽量避免在隧道中使用 0.0.0.0/0 路由。

本例中所用的外部 IP 地址全部都是虚构的公用 IP 地址。 在设置 BOVPN 网关和隧道时,将使用 Fireware 和 Edge 设备在第 1 阶段和第 2 阶段 IPSec 方案中的默认认证和加密。

定义 BOVPN 网关

首先,我们来配置远程办公室 A、中央办公室和远程办公室 B 的 BOVPN 网关。

定义远程办公室 A 的网关

在远程办公室 A 的 Edge X55e-W 中,配置连接到中央办公室的隧道 A 的 BOVPN 网关。

  1. 在 Policy Manager 中,选择“VPN”>“分支机构网关”。
    将显示“网关”对话框。
  2. 单击“添加”。
    此时将显示“新建网关”对话框。
  3. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  4. 在“常规设置”选项卡的“凭据方法”区域中,选择“使用预共享密匙”。 在相邻的文本框中键入共享密钥。
  5. 在“网关端点”部分中单击“添加”。
    将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分选择“按 IP 地址”
  2. 从“IP 地址”下拉列表中选择远程办公室 A Firebox 的外部 IP 地址:60.60.60.20
  3. 从“外部接口”下拉列表中选择中央办公室 Firebox 的主外部接口。
  4. 在“远程网关”部分的“指定远程网关 IP 地址”中,选择“静态 IP 地址”。 在相邻的文本框中键入中央办公室 Firebox 的外部 IP 地址:50.50.50.10
  5. 在“为隧道认证指定网关 ID”部分,选择“按 IP 地址”。 在相邻的文本框中键入中央办公室 Firebox 的外部 IP 地址:50.50.50.10
  6. 单击“确定”关闭“新建网关端点设置”对话框。
    此时将显示“新建网关”对话框。 网关端点列表中将显示已定义的网关对。
  7. 依次单击“确定”关闭“新建网关”和“网关”对话框。

定义中央办公室网关

在中央办公室的 X750e 中,配置连接到远程办公室 A 的网关。

  1. 在 Policy Manager 中,选择“VPN”>“分支机构网关”。
    将显示“网关”对话框。
  2. 单击“添加”。
    此时将显示“新建网关”对话框。
  3. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  4. 在“常规设置”选项卡的“凭据方法”区域中,选择“使用预共享密匙”。 在相邻的文本框中键入共享密钥。
  5. 在“网关端点”部分中单击“添加”。
    将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分选择“按 IP 地址”
  2. 从“IP 地址”下拉列表中选择中央办公室 Firebox 的外部 IP 地址。 在此例中,请选择 50.50.50.10
  3. 从“外部接口”下拉列表中选择中央办公室 Firebox 的主外部接口。
  4. 在“远程网关”部分的“指定远程网关 IP 地址”中,选择“静态 IP 地址”。 在相邻的文本框中键入远程办公室 A 设备的外部 IP 地址:60.60.60.20
  5. 在“为隧道认证指定网关 ID”部分,选择“按 IP 地址”。 在相邻的文本框中键入远程办公室 A 设备的外部 IP 地址:60.60.60.20
  6. 单击“确定”关闭“新建网关端点设置”对话框。
    此时将显示“新建网关”对话框。 网关端点列表中将显示已定义的网关对。
  7. 单击“确定”关闭“新建网关”对话框。
    此时您将会回到“网关”对话框。

在中央办公室的 X750e 中,配置连接到远程办公室 B 的网关。

  1. 在“网关”对话框中单击“添加”
    此时将显示“新建网关”对话框。
  2. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  3. 在“常规设置”选项卡的“凭据方法”区域中,选择“使用预共享密匙”。 在相邻的文本框中键入共享密钥。
  4. 在“网关端点”部分中单击“添加”。
    将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分选择“按 IP 地址”
  2. 从“IP 地址”下拉列表中选择地址。
  3. 从“外部接口”下拉列表中选择 Firebox 的主外部接口。
  4. 在“远程网关”部分的“指定远程网关 IP 地址”中,选择“静态 IP 地址”。 在相邻的文本框中键入远程办公室 B 设备的外部 IP 地址。
  5. 在“为隧道认证指定网关 ID”部分,选择“按 IP 地址”。 在相邻的文本框中键入远程办公室 B 设备的外部 IP 地址。
  6. 单击“确定”关闭“新建网关端点设置”对话框。
    此时将显示“新建网关”对话框。 网关端点列表中将显示已定义的网关对。
  7. 依次单击“确定”关闭“新建网关”和“网关”对话框。

定义远程办公室 B 的网关

在远程办公室 B 的 Edge X10e 中,配置连接到中央办公室的隧道 B 的 BOVPN 网关。

  1. 在 Policy Manager 中,选择“VPN”>“分支机构网关”。
    将显示“网关”对话框。
  2. 单击“添加”。
    此时将显示“新建网关”对话框。
  3. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  4. 在“常规设置”选项卡的“凭据方法”区域中,选择“使用预共享密匙”。 在相邻的文本框中键入共享密钥。
  5. 在“网关端点”部分中单击“添加”。
    将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分选择“按 IP 地址”
  2. 从“IP 地址”下拉列表中选择远程办公室 B Firebox 的外部 IP 地址:70.70.70.30
  3. 从“外部接口”下拉列表中选择中央办公室 Firebox 的主外部接口。
  4. 在“远程网关”部分的“指定远程网关 IP 地址”中,选择“静态 IP 地址”。 在相邻的文本框中键入中央办公室 Firebox 的外部 IP 地址:50.50.50.10
  5. 在“为隧道认证指定网关 ID”部分,选择“按 IP 地址”。 在相邻的文本框中键入中央办公室 Firebox 的外部 IP 地址:50.50.50.10
  6. 单击“确定”关闭“新建网关端点设置”对话框。
    此时将显示“新建网关”对话框。 网关端点列表中将显示已定义的网关对。
  7. 依次单击“确定”关闭“新建网关”和“网关”对话框。

定义隧道路由

在定义 BOVPN 隧道资源之前,请记住我们的目标是将远程办公室 A 可信任网络中产生的 BOVPN 流量发送至中央办公室的可信任网络,更重要的是发送至远程办公室 B 的可信任网络中。即使远程办公室 A 和 B 之间没有直接的 BOVPN 隧道也可以实现流量的传送。

请思考下面的示图:

此图中的网络包含这三家办公室以及连接它们的 VPN 隧道,其中中央办公室的 Firebox 与远程办公室 B 同组。

在这个例子中,中央办公室和远程办公室 B 组合在一起构成组 B。当远程办公室 A 和中央办公室之间定义了隧道路由时,组 B 代表的是中央办公室的隧道资源。 以远程办公室 A 为起点的隧道同时连接着中央办公室的可信任网络 (10.10.10.0/.24) 和远程办公室 B 的可信任网络 (192.168.30.0/24)。

配置连接到中央办公室的远程办公室 A 隧道路由

我们希望在远程办公室 A 的 Edge X55e-W 中创建两个通向中央办公室 Firebox 的隧道路由。 一个用于连接中央办公室的专用网络,另一个则用于连接远程办公室 B 的专用网络。

在 Policy Manager 中选择“VPN”>“分支机构隧道”
将显示“分支机构 IPSec 隧道”对话框。

  1. 单击“添加”。
    将显示“新建隧道”对话框。
  1. 在“隧道名称”框中键入隧道的名称。
  2. 从“网关”下拉列表中选择为远程办公室 A 定义的网关。
  3. 单击“添加”,按如下设置添加隧道路由:
  • 本地:此 Firebox 的可信任网络地址 172.16.20.0/24
  • 远程:中央办公室 Firebox 的可信任网络地址 10.10.10.0/24
  • 方向<===>
  1. 单击“添加”,按如下设置添加隧道路由:
  • 本地:此 Firebox 的可信任网络地址 172.16.20.0/24
  • 远程:远程办公室 B Firebox 的可信任网络地址192.168.30.0/24
  • 方向<===>

配置连接到远程办公室 A 的中央办公室隧道路由

您必须在中央办公室的 X750e 中同样配置两个通向远程办公室 A 的隧道路由。这可保证在中央办公室连接到远程办公室 A 时,能够像使用自己本地网络一样的使用远程办公室 B 的专用网络。

  1. 在 Policy Manager 中,选择“VPN”>“分支机构隧道”。
    将显示“分支机构 IPSec 隧道”对话框。
  2. 单击“添加”。
    将显示“新建隧道”对话框。
  1. 在“隧道名称”框中键入隧道的名称。
  2. 从“网关”下拉列表中选择为远程办公室 A 定义的网关。
  3. 单击“添加”,按如下设置添加隧道路由:
  • 本地:中央办公室 Firebox 的可信任网络地址 10.10.10.0/24
  • 远程:远程办公室 A Firebox 的可信任网络地址172.16.20.0/24
  • 方向<===>
  1. 单击“添加”,按如下设置添加隧道路由:
  • 本地:远程办公室 B Firebox 的可信任网络地址192.168.30.0/24
  • 远程:远程办公室 A Firebox 的可信任网络地址172.16.20.0/24
  • 方向<===>

定义中央办公室和远程办公室 B 之间的隧道路由

要完成隧道切换配置,您必须为中央办公室和远程办公室 B 之间的 BOVPN 隧道设置与上述配置类似但反向的配置。在这里,我们将远程办公室 A 和中央办公室组合在一起构成组 A。随后再配置中央办公室和远程办公室 B 之间的隧道路由。

此图中的网络包含这三家办公室以及连接它们的 VPN 隧道;其中,中央办公室的 Firebox 与远程办公室 A 同组。

以远程办公室 B 为起点的隧道同时连接着中央办公室的可信任网络 (10.10.10.0/.24) 和远程办公室 A 的可信任网络 (172.16.20.0/24)。

配置连接到远程办公室 B 的中央办公室隧道路由

您必须在中央办公室的 X750e 中同样配置两个通向远程办公室 B  的隧道路由。这可保证在中央办公室连接到远程办公室 B 时,能够像使用自己本地网络一样的使用远程办公室 A 的专用网络。

  1. 在 Policy Manager 中,选择“VPN”>“分支机构隧道”。
    将显示“分支机构 IPSec 隧道”对话框。
  2. 单击“添加”。
    将显示“新建隧道”对话框。
  1. 在“隧道名称”框中键入隧道的名称。
  2. 从“网关”下拉列表中选择为远程办公室 B 定义的网关。
  3. 单击“添加”,按如下设置添加隧道路由:
  • 本地:中央办公室 Firebox 的可信任网络地址 10.10.10.0/24
  • 远程:远程办公室 B Firebox 的可信任网络地址192.168.30.0/24
  • 方向: <===>
  1. 单击“添加”,按如下设置添加隧道路由:
  • 本地:远程办公室 A Firebox 的可信任网络地址172.16.20.0/24
  • 远程:远程办公室 B Firebox 的可信任网络地址192.168.30.0/24
  • 方向: <===>

配置连接到中央办公室的远程办公室 B 隧道路由

要完成此配置,必须在远程办公室 B 的 Edge X10e 上定义两个通向中央办公室的隧道路由。 一个用于连接中央办公室的专用网络,另一个则用于连接远程办公室 A 的专用网络。

  1. 在 Policy Manager 中,选择“VPN”>“分支机构隧道”。
    将显示“分支机构 IPSec 隧道”对话框。
  2. 单击“添加”。
    将显示“新建隧道”对话框。
  1. 在“隧道名称”框中键入隧道的名称。
  2. 从“网关”下拉列表中选择为远程办公室 B 定义的网关。
  3. 单击“添加”,按如下设置添加隧道路由:
  • 本地:此 Firebox 的可信任网络地址 192.168.30.0/24
  • 远程:中央办公室 Firebox 的可信任网络地址 10.10.10.0/24
  • 方向<===>
  1. 单击“添加”,按如下设置添加隧道路由:
  • 本地:此 Firebox 的可信任网络地址 192.168.30.0/24
  • 远程:远程办公室 B Firebox 的可信任网络地址172.16.20.0/24
  • 方向<===>

保存对三个办公室的 Firebox 所做的配置更改。

检查隧道切换配置

要检查隧道切换是否工作,请尝试从远程办公室 A 的可信任网络对位于远程办公室 B 可信任网络中的计算机执行 ping 操作。 同时,也必须确保中央办公室的 Firebox 不会拒绝 ping 请求。 如果 ping 请求成功,则说明您已经正确配置了隧道切换。

要验证隧道是否处于活动状态,也可以查看中央办公室 Firebox 的 Firebox System Manager。 在 Firebox System Manager 的“前面板”中,单击“Branch Office VPN tunnel”部分来查看各站点之间的网关和隧道。 您可能需要等待片刻,因为 Firebox System Manager 需要连接到 Firebox 才会显示状态信息。 如果中央办公室 X750e 上的 Firebox System Manager 显示有两个 BOVPN 网关,每个网关有两个活动隧道,就说明您已正确配置了隧道切换。

 

英国学校gpa算法 英国学校gpa算法
原创粉丝点击
热门IT博客
linux less命令退出linux less命令退出
淘宝食品淘宝食品
苹果cms整站带vip采集
vr制作软件图片
如何复制淘宝图片
数控程序员招聘
wp.js
淘宝美工招聘网
软件分为哪两类
ios9.0.2软件源
德州扑克 知乎
ansys cfd软件
手动调频收音机 软件
单片机 脉冲信号
centos 6.5
排水系统模拟软件
jsp 收费系统 源码
c语言心形图案
中国食品安全数据
恶搞改图软件
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 灵谕 灵超 灵超真名 灵超和保镖十指相扣 灵路 灵路血祸 五灵根的逆袭之路 灵夜雨 口蹄一针灵 口蹄一针灵一盒多少钱 灵车 灵车司机 灵车图片 梦见灵车 灵车下载 灵车价格 灵车 堂前雁 灵车txt下载 灵车txt 看见灵车 灵车飘移 灵车飘逸 灵车刘明布 灵车司机14路公交车 刘明布灵车全文免费 梦见灵车是什么意思 海灵车展2019 深圳海灵车展2019 海灵车展靠谱吗 灵车司机刘明布免费阅读 灵车txt电子书免费下载 灵车是什么意思 灵车全文下载 堂前雁 灵镜传奇 l灵镜传奇 灵镜小白 灵镜传奇02 灵镜传奇吧 灵镜传奇2 灵镜

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里