三星Ubigate系列简单VPN配置实例讲解
随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况使传统企业网络的功能缺陷越来越凸现,各公司均根据行业特点在在企业总部部署如OA系统、ERP系统、财务系统、CRM客户资源管理系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地数据和软件资源共享的目的,于是用户对于自身的网络建设提出了更高的需求,其中针对网络的灵活性、高安全性、经济性、可扩展性等方面尤为关注。VPN(Virtual Private Network虚拟专用网)技术的出现,为在公共网络上建立安全的Intranet、点到点连接等分布应用提供了良好的技术手段。随着VPN技术的不断完善,其管理简单、灵活性高、费用低廉的优点已成为构建内部广域网络的首要选择。传统的企业网络解决方案需要VPN网关、防火墙、交换三类设备,对安全比较注重的企业还要考虑布置IDS/IPS(入侵检测/防御系统)等,用分体的设备无疑会增加成本,同时可能故障点会增多,管理较为复杂,SAMSUNG充分考虑信息化投资效果,推出了集路由交换、VPN、防火墙、VOIP于一体的模块化的Ubigate系列产品,为企业网络提供了全面的、高效率、可扩展的、安全的VPN解决方案。
什么是VPN?
VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个 VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
VPN是企业网在因特网等公共网络上的延伸,它能在公共网络上创建一个安全的私有连接,因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来,构成一个扩展的企业网。
三星Ubigate系列网络产品在实施VPN的方面有很强的优势
在利用Ubigate产品进行VPN网络组建的时候,数据链路的传输首先会基于网络层进行IPSec加密,然后对于基于链路层进行MAC地址绑定,同时可以利用Ubigate的AAA服务器功能进行用户身份的验证、授权、统计进行统一管理,同时ISM模块中的IDS/IPS入侵检测系统、防病毒功能对于所有流量进行实施监控探测,从而真正实现立体式安全VPN隧道
高速VPN隧道机制
为解决现有普遍存在的VPN速度慢问题,Ubigate为用户提供了1000M的LAN / WAN接入速率,Ubigate同时具备PPP链路封装及PAP、CHAP验证,可以现有的ADSL、VDSL、HDSL等宽带接入技术的进行完整功能支持,可以直接与公网相连并进行宽带拨号,从而最大限度的提高了VPN隧道的接入速度。
SAMSUNG Ubigate iBG 3026作为VPN的服务器端,可同时接受2000个并发VPN拨号的连接(L2TP)——也就是说分公司能同时有2000人拨号到总公司上来。小型分公司的人员或者正在移动办公中的人员皆可采取L2TP的拨号方式(WIN 2000/XP/2003皆有自带的拨号软件)与总公司间进行互联。
软、硬全功能VPN
VPN可分为硬件VPN和软件VPN。实施了 Ubigate iBG 3026设备进行VPN对接的时候,可以实现软、硬全功能VPN接入,Ubigate iBG系列产品特有的VAC增强卡不但可以为用户提供更多的VPN连接数目,同时采用IPSec的隧道加密机制,从根本上保证了用户数据的安全性。各个分公司机构可根据自身情况选择用硬件或者是软件与总公司进行VPN互联。不同的分公司可选择不同的VPN连接方式,只需要在总公司Ubigate设备中进行少量简单配置便能轻松实现多种VPN接入。
下面就以一个简单的实例给大家呈现三星Ubigate iBG系列产品的VPN配置方法。
配置实例如下:
配置IPSec VPN
配置分公司端设备
配置端口地址
Ibg01/configure# interface ethernet 0/2
Ibg01/configure/interface/ethernet (0/2)#
Ibg01/configure/interface/ethernet (0/2)# ip address 160.0.1.1/24
Ibg01/configure/interface/ethernet (0/2)# end
Ibg01/configure# interface ethernet 2/0
Ibg01/configure/interface/ethernet (2/0)#
Ibg01/configure/interface/ethernet (2/0)# ip address 170.0.1.1/24
Ibg01/configure/interface/ethernet (2/0)# end
启用防火墙策略
Ibg01/configure# firewall internet
Ibg01/configure/firewall internet# interface ethernet0/2
Ibg01/configure/firewall internet# policy 1022 in self
ibg01/configure/firewall internet/policy 1022 in# exit
ibg01/configure/firewall internet#
ibg01/configure# firewall corp
ibg01/configure/firewall corp# interface ethernet2/0
ibg01/configure/firewall corp# policy 1021 in
ibg01/configure/firewall corp/policy 1021 in# exit
ibg01/configure/firewall corp#
查看端口在防火墙的网络类型
ibg01# show firewall interface all
Interface Map Name
--------- --------
ethernet0/2 internet
ethernet2/0 corp
配置crypto ike策略
Ibg01/configure# crypto
Ibg01/configure/crypto# ike policy pol1 160.0.1.2
Ibg01/configure/crypto/ike/policy pol1 160.0.1.2# local-address 160.0.1.1
Default proposal created with priority1-des-sha1-pre_shared-g1
Key String has to be configured by the user
配置crypto ike策略密钥
Ibg01/configure/crypto/ike/policy pol1 160.0.1.2# key samsung123
查看IKE信息
ibg01/configure/crypto/ike/policy pol1 160.0.1.2# show crypto ike policy pol1 detail
Policy name pol1, Local addr 160.0.1.1, Peer addr 160.0.1.2
Main mode, Initiator and Responder, PFS is not enabled, Shared Key is *****
Local ident 160.0.1.1 (ip-address), Remote Ident 160.0.1.2 (ip-address)
NGM attributes not configured
OCSP is not enabled
Proposal of priority 1
Encryption algorithm: des
Hash Algorithm: sha1
Authentication Mode: pre-shared-key
DH Group: group1
Lifetime in seconds: 86400
Lifetime in kilobytes: unlimited
配置crypto ipsec策略
ibg01/configure# crypto
ibg01/configure/crypto# ipsec policy pol1 160.0.1.2
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# match address 170.0.1.0/24 170.0.5.0/24
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# proposal 1
查看ipsec策略
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# show crypto ipsec policy pol1
Policy Peer Match Proto Transform
------ ---- ----- ----- ---------
pol1 160.0.1.2 S 170.0.1.0/24/any Any P1 esp-3des-sha1-tunl
D 170.0.5.0/24/any
总公司端设备作同样的配置如下:
Ibg01/configure# interface ethernet 0/2
Ibg01/configure/interface/ethernet (0/2)#
Ibg01/configure/interface/ethernet (0/2)# ip address 160.0.1.2/24
Ibg01/configure/interface/ethernet (0/2)#exit
Ibg01/configure# interface ethernet 2/0
Ibg01/configure/interface/ethernet (2/0)#
Ibg01/configure/interface/ethernet (2/0)# ip address 170.0.5.1/24
Ibg01/configure/interface/ethernet (2/0)# exit
Ibg02/configure# firewall internet
Ibg02/configure/firewall internet# interface ethernet0/2
Ibg02/configure/firewall internet# policy 1022 in self
ibg02/configure/firewall internet/policy 100 in# exit
ibg02/configure/firewall internet#exit
ibg02/configure# firewall corp
ibg02/configure/firewall corp# interface ethernet2/0
ibg02/configure/firewall corp# policy 1021 in
ibg02/configure/firewall corp/policy 1021 in# exit 3
ibg02/configure/firewall corp#exit
ibg02/configure# crypto
ibg02/configure/crypto#
ibg02/configure/crypto# ike policy pol1 160.0.1.1
ibg02/configure/crypto/ike/policy pol1 160.0.1.1# local-address 160.0.1.2
ibg02/configure/crypto/ike/policy pol1 160.0.1.1# key samsung123
ibg02/configure/crypto/ike/policy pol1 160.0.1.1#exit
ibg02/configure# crypto
ibg02/configure/crypto# ipsec policy pol1 160.0.1.1
ibg02/configure/crypto/ipsec/policy pol1 160.0.1.1# match address 170.0.5.0/24 170.0.1.0/24
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.1# proposal 1
检查Ipsec VPN的详细情况
show crypto ike policy poll detail
show crypto ipsec policy poll
debug crypto all
DEBUG Crypto 所有信息
ibg02# debug crypto all
(新闻稿 2008-04-03)
