使用TMG 2010建立IPSec ×××
1.概述
1.1. 前言
在跨地域的网络环境之间,建立无需拨号连接的×××连接。在没有点对点专线、硬件×××设备等条件下,是否可以使用软件来实现?
本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec ×××。
1.2. 网络拓扑
拓扑说明
A站:
? 局域网内有1个子网10.2.4.0/24
? 双Internet出口,网络访问默认出口为路由器,与站点B的通信则经过TMG
? 使用TMG作为Site-to-Site ×××设备,TMG工作模式为边缘防火墙
B站:
? 局域网内有2个子网,分别为192.168.10.0/24和172.17.0.0/16
? 单Internet出口,所有网络流量均由TMG处理
? 使用TMG作为Site-to-Site ×××设备,TMG工作模式为边缘防火墙
2. ×××配置
2.1. 软件更新
在A站和B站分别安装Forefront TMG2010,并更新至SP2
? TMG 2010不带补丁的版本号为7.0. 8108
? 补丁升级必须从低到高,且不能跳过低版本补丁
2.2. A站配置
在网络连接中,配置TMG网络
检查网络连接中的内部网络地址,并确保TMG可以访问
由于TMG为双网卡边缘防火墙模式,LAN网卡是不设备网关的,所以需要手动创建到10.2.4.0/24的路由
可以使用route add命令创建路由,也可以使用TMG的路由功能创建网络拓扑路由
命令行:
| route add –p 10.2.4.0 mask 255.255.255.0 10.2.3.2 |
10.2.3.2为路由下一跳地址
在远程访问策略(×××)中,创建×××点对点连接
填写×××网络名称
选择×××协议为IPsec
连接设置,填写远程(B站)和本地(A站)的×××网关地址(即用来做×××的公网地址)
选择身份验证方法,可以选择由同一CA发布的证书,也可以使用预共享(PSK)**加密
添加需要访问到对端(B站)的内部地址范围,此处会默认添加对端×××网关地址
点对点网络规则页面,直接下一步
点对点网络访问规则页面,选择所有出站通讯
完成配置,并应用生效
2.3. B站配置
创建点对点×××,输入×××网络名称,同样选择×××协议为IPsec。
连接设置页面,与A站配置相反,填写远程(A站)和本地(B站)的×××网关地址
IPsec身份验证必须与A站的配置完全相同
添加对端(A站)内部地址范围
网络访问规则与A站配置相同,选择所有出站通讯。完成并应用配置
3. 验证
3.1. 查看×××会话状态
在A站TMG上查看
在B站TMG上查看
A站主机通过×××访问B站网络共享
这样,Site-to-Site IPsec ×××就配置成功了。
关于本案例中提到的A站双Internet出口问题,请参考【Cisco策略路由配置】
转载于:https://blog.51cto.com/hongc/1551270