总部、分部以及VPN用户组网架构案例

  • A+

总公司、分公司以及VPN远程办公用户组网架构一例。
一、网络拓扑

nat
二、需求
1.1. 规划该公司总部(用户网段、服务器群网段)、分支部门的IP地址

1.2. 公司总部的需求
1.2.1 总部的用户网段能够访问服务器群
1.2.2 总部的服务器群网段能够访问Internet
1.2.3 总部的用户网段需要通过PPPoE拨号后能够访问Internet

1.3. 分支部门的需求
1.3.1 分支部门通过LAN接入使用PPPoE拨号接入到Internet
注:Internet路由器分配的地址为188.1.1.0/24网段。Internet路由器(PPPoE服务器)要求用户验证CHAP,分配给分支部门的帐号/密码为www.ttlsa.com/pass。
1.3.2 分支网络能够访问总部的用户网段、服务器群网段
1.3.3 分支部门能够访问Internet

1.4. 远程拨入用户的需求
为了方便出差的员工访问公司总部的服务器群网络,配置远程拨号VPN。
注:远程拨入的用户必须进行身份验证,拨号成功后允许访问公司总部的服务器群,但是不能够访问用户网段。

以上涉及到的验证均由位于服务器群网络中的AAA服务器来进行验证。
AAA配置简单如下:
在路由器R1上将所有涉及到AAA的策略列表中在local前加group tacacs或group radius。
在路由器R1上指定radius或tacacs服务器的IP地址及密钥。

三、分析
3.1. 规划该公司总部(用户网段、服务器群网段)、分支部门的IP地址
3.1.1 使用192.168.0.0/16的IP地址段
3.1.2 IP规划明细
总部的IP地址范围192.168.0.0/24~192.168.7.0/24
总部的服务器网段:192.168.0.0/24~192.168.1.0/24
用户网段:192.168.2.0/24~192.168.3.0/24
用户网段的PC进行PPPoE拨号后获取的IP地址段:192.168.4.0/24
远程访问VPN的用户获取的IP地址段:192.168.5.0/24
3.1.3 分支的IP地址范围192.168.8.0/24
以上仅供参考,具体规划还需要考虑用户数量等因素。

3.2. 公司总部的需求
3.2.1 总部的用户网段能够访问服务器群
3.2.2 总部的服务器群网段能够访问Internet
3.2.3 总部的用户网段需要通过PPPoE拨号后能够访问Internet

思路:总部的服务器网段或用户网段能够访问Internet,必须在出口路由器配置正确的NAT。如何实现用户网段必须通过PPPoE拨号后可以上网,可以通过以下方式实现,在配置NAT时,允许服务器网段的IP地址进行NAT、禁止用户网段的IP地址进行NAT、允许用户网段PPPoE拨号后的IP地址进行NAT。

四、配置:
公司总部路由器R1配置:

分支部门路由器R2配置:

如需转载请注明出处:总部、分部以及VPN用户组网架构案例  http://www.ttlsa.com/html/2340.html

weinxin
微信公众号
扫一扫关注运维生存时间公众号,获取最新技术文章~

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: