总部、分部以及VPN用户组网架构案例

总部、分部以及VPN用户组网架构案例已关闭评论

A+

总公司、分公司以及VPN远程办公用户组网架构一例。
一、网络拓扑

二、需求
1.1. 规划该公司总部（用户网段、服务器群网段）、分支部门的IP地址

1.2. 公司总部的需求
1.2.1 总部的用户网段能够访问服务器群
1.2.2 总部的服务器群网段能够访问Internet
1.2.3 总部的用户网段需要通过PPPoE拨号后能够访问Internet

1.3. 分支部门的需求
1.3.1 分支部门通过LAN接入使用PPPoE拨号接入到Internet
注：Internet路由器分配的地址为188.1.1.0/24网段。Internet路由器（PPPoE服务器）要求用户验证CHAP，分配给分支部门的帐号/密码为www.ttlsa.com/pass。
1.3.2 分支网络能够访问总部的用户网段、服务器群网段
1.3.3 分支部门能够访问Internet

1.4. 远程拨入用户的需求
为了方便出差的员工访问公司总部的服务器群网络，配置远程拨号VPN。
注：远程拨入的用户必须进行身份验证，拨号成功后允许访问公司总部的服务器群，但是不能够访问用户网段。

以上涉及到的验证均由位于服务器群网络中的AAA服务器来进行验证。
AAA配置简单如下：
在路由器R1上将所有涉及到AAA的策略列表中在local前加group tacacs或group radius。
在路由器R1上指定radius或tacacs服务器的IP地址及密钥。

三、分析
3.1. 规划该公司总部（用户网段、服务器群网段）、分支部门的IP地址
3.1.1 使用192.168.0.0/16的IP地址段
3.1.2 IP规划明细
总部的IP地址范围192.168.0.0/24～192.168.7.0/24
总部的服务器网段：192.168.0.0/24～192.168.1.0/24
用户网段：192.168.2.0/24～192.168.3.0/24
用户网段的PC进行PPPoE拨号后获取的IP地址段：192.168.4.0/24
远程访问VPN的用户获取的IP地址段：192.168.5.0/24
3.1.3 分支的IP地址范围192.168.8.0/24
以上仅供参考，具体规划还需要考虑用户数量等因素。

3.2. 公司总部的需求
3.2.1 总部的用户网段能够访问服务器群
3.2.2 总部的服务器群网段能够访问Internet
3.2.3 总部的用户网段需要通过PPPoE拨号后能够访问Internet

思路：总部的服务器网段或用户网段能够访问Internet，必须在出口路由器配置正确的NAT。如何实现用户网段必须通过PPPoE拨号后可以上网，可以通过以下方式实现，在配置NAT时，允许服务器网段的IP地址进行NAT、禁止用户网段的IP地址进行NAT、允许用户网段PPPoE拨号后的IP地址进行NAT。

四、配置：
公司总部路由器R1配置：

hostname R1
!
aaa new-model
!
aaa authentication login ttlsa_easyvpn local
aaa authorization network ttlsa_easyvpn local 
ip cef
!
username user01 password 0 pass01
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group S2S_VPN
key ttlsa
acl ACL_S2S_VPN
!
crypto isakmp client configuration group RA_VPN
key ttlsa
pool POOL_RA_VPN
acl ACL_RA_VPN
crypto isakmp profile S2S_VPN
match identity group S2S_VPN
isakmp authorization list ttlsa_easyvpn
client configuration address respond
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto dynamic-map DYNMAP 10
set transform-set ESP-3DES-SHA 
reverse-route
!
crypto map VPN_MAP client authentication list ttlsa_easyvpn
crypto map VPN_MAP isakmp authorization list ttlsa_easyvpn
crypto map VPN_MAP client configuration address respond
crypto map VPN_MAP 65535 ipsec-isakmp dynamic DYNMAP 
!
!
bba-group pppoe ttlsa
virtual-template 1
!
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
pppoe enable group ttlsa
!
interface Serial1/0
ip address 1.1.1.1 255.255.255.252
ip nat outside
serial restart-delay 0
crypto map VPN_MAP
!
interface Virtual-Template1
ip address 192.168.4.254 255.255.255.0
ip nat inside 必须在PPPOE对应的virtual-template1下配置NAT的inside接口，而用户网段实际对应的物理接口f0/1接口无需配置。
peer default ip address pool POOL_PPPOE
ppp authentication chap
!
ip local pool POOL_PPPOE 192.168.4.1 192.168.4.250
ip local pool POOL_RA_VPN 192.168.5.1 192.168.5.254
ip nat inside source list ACL_NAT interface Serial1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!
ip access-list extended ACL_NAT
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 拒绝192.168.0.0/16到192.168.0.0/16的目的是禁止私网互访的IP报文进行NAT转换，否则将导致IPSec VPN无法正常使用。同时允许服务器所在的IP网段，以及用户网段进行PPPoE拨号后的IP地址段进行NAT转换。
permit ip 192.168.0.0 0.0.1.255 any
permit ip 192.168.4.0 0.0.0.255 any
ip access-list extended ACL_RA_VPN
permit ip 192.168.0.0 0.0.1.255 any 远程拨入用户的隧道分离ACL，只允许访问总部的服务器网段 
ip access-list extended ACL_S2S_VPN 
permit ip 192.168.0.0 0.0.255.255 any
!
End

hostname R1

aaa new-model

aaa authentication login ttlsa_easyvpn local

aaa authorization network ttlsa_easyvpn local

ip cef

username user01 password 0 pass01

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp client configuration group S2S_VPN

key ttlsa

acl ACL_S2S_VPN

crypto isakmp client configuration group RA_VPN

key ttlsa

pool POOL_RA_VPN

acl ACL_RA_VPN

crypto isakmp profile S2S_VPN

match identity group S2S_VPN

isakmp authorization list ttlsa_easyvpn

client configuration address respond

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto dynamic-map DYNMAP 10

set transform-set ESP-3DES-SHA

reverse-route

crypto map VPN_MAP client authentication list ttlsa_easyvpn

crypto map VPN_MAP isakmp authorization list ttlsa_easyvpn

crypto map VPN_MAP client configuration address respond

crypto map VPN_MAP 65535 ipsec-isakmp dynamic DYNMAP

bba-group pppoe ttlsa

virtual-template 1

interface FastEthernet0/0

ip address 192.168.0.1 255.255.255.0

ip nat inside

duplex auto

speed auto

interface FastEthernet0/1

ip address 192.168.2.1 255.255.255.0

duplex auto

speed auto

pppoe enable group ttlsa

interface Serial1/0

ip address 1.1.1.1 255.255.255.252

ip nat outside

serial restart-delay 0

crypto map VPN_MAP

interface Virtual-Template1

ip address 192.168.4.254 255.255.255.0

ip nat inside 必须在PPPOE对应的virtual-template1下配置NAT的inside接口，而用户网段实际对应的物理接口f0/1接口无需配置。

peer default ip address pool POOL_PPPOE

ppp authentication chap

ip local pool POOL_PPPOE 192.168.4.1 192.168.4.250

ip local pool POOL_RA_VPN 192.168.5.1 192.168.5.254

ip nat inside source list ACL_NAT interface Serial1/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 1.1.1.2

ip access-list extended ACL_NAT

deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 拒绝192.168.0.0/16到192.168.0.0/16的目的是禁止私网互访的IP报文进行NAT转换，否则将导致IPSec VPN无法正常使用。同时允许服务器所在的IP网段，以及用户网段进行PPPoE拨号后的IP地址段进行NAT转换。

permit ip 192.168.0.0 0.0.1.255 any

permit ip 192.168.4.0 0.0.0.255 any

ip access-list extended ACL_RA_VPN

permit ip 192.168.0.0 0.0.1.255 any 远程拨入用户的隧道分离ACL，只允许访问总部的服务器网段

ip access-list extended ACL_S2S_VPN

permit ip 192.168.0.0 0.0.255.255 any

End

分支部门路由器R2配置：

hostname R2
!
crypto ipsec client ezvpn VPN_ALD
connect auto
group S2S_VPN key ALD
mode network-extension
peer 1.1.1.1
!
interface Loopback1
ip address 192.168.8.1 255.255.255.0
ip nat inside
crypto ipsec client ezvpn VPN_ALD inside
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname www.ttlsa.com
ppp chap password 0 pass
crypto ipsec client ezvpn VPN_ALD
!
ip nat inside source list ACL_NAT interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended ACL_NAT
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 禁止私网之间的流量进行NAT转换
permit ip 192.168.8.0 0.0.0.255 any
!
End

hostname R2

crypto ipsec client ezvpn VPN_ALD

connect auto

group S2S_VPN key ALD

mode network-extension

peer 1.1.1.1

interface Loopback1

ip address 192.168.8.1 255.255.255.0

ip nat inside

crypto ipsec client ezvpn VPN_ALD inside

interface FastEthernet0/0

no ip address

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

interface Dialer1

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

ppp chap hostname www.ttlsa.com

ppp chap password 0 pass

crypto ipsec client ezvpn VPN_ALD

ip nat inside source list ACL_NAT interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip access-list extended ACL_NAT

deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 禁止私网之间的流量进行NAT转换

permit ip 192.168.8.0 0.0.0.255 any

End

如需转载请注明出处：总部、分部以及VPN用户组网架构案例 http://www.ttlsa.com/html/2340.html

微信公众号

扫一扫关注运维生存时间公众号，获取最新技术文章~

登录 注册 找回密码

微信

登录注册找回密码