FVX538(FVS338)为中心,FVS318V3,FVS114,FVS124G为分支的 ××× 网络配置实例
目录

一. 方案背景及规划

本文将以美国网件公司目前在市场上销售的主要×××防火墙产品为例子,详细介绍使用本公司的产品构建企业×××网络全过程,文中包含了各种×××通道的模式及其具体配置。
  • 方案背景
一个中心及三个分支机都申请了宽带上网的线路,其中中心为固定IP地址的2M光纤专线,分支分别使用中国电信的专线或者ADSL,在本实验中,我们特别选择了分支机构1采用固定的IP地址,分支机构2采用动态域名,支机构3采用动态的IP地址这三种接入方式作为例子,详细描述了这三种最常见的接入方式的×××配置方法。
 
v10026_clip_p_w_picpath002.jpg
图1-1Netgear解决方案
  • 方案目的
实现中心机构和分支机构的×××互连,使总部和分支机构的局域网可以互
相连接,同时以中心机构作为中转,实现三个机构内部局域网的互连。特别要提及的是在本方案中,我们枚举了三种常见的宽带接入方式。分别为:使用固定IP地址的专线的接入方式,使用动态IP地址的ADSL并且申请了动态域名的接入方式,使用动态IP地址的ADSL并且没有申请动态域名的接入方式,该三种接入方式都可以和总部建立×××通道,但配置的办法和建立×××通道的要求都有所不同,将在下文作详细的描述。另外在实现分支机构通过总部的中转作×××连接这一功能(下文我们简称这种功能为Spoke-and-Hub)时,由于受到×××策略的限制,所以我们必须要特别注意总部和分支机构的IP地址规划,该IP地址规划的原则也将在下文详细叙述。
  • 方案涉及的设备及固件版本
Nodes
Model
Firmware version
Central(Hub)
FVX538/(FVS338)
FVX538 (V1.6.49)
Branch 1(Spoke)
FVS318V3
V3.0.22
Branch 2(Spoke)
FVS114
V1.008
Branch 3(Spoke)
FVS124G
V1.1.24
 
注意:所有的NETGEAR ×××防火墙系列产品在安装前都必须升级到最新版本,并恢复出厂设定。请访问 http://www.netgear.com.cn/获取产品最终新的软件。
 
  • IP规划的原则
在配置×××方案的时候必须首先进行IP地址的规划,使用美国网件公司提供的×××设备的时候,IP规划必须按照以下原则进行
  • 普通的×××连接的IP规划原则:
所谓普通的IP地址规划,就是指在建立点对点或者点对多点的×××网络的时候的IP地址的规划。此时,IP地址规划的原则为:所有的×××节点都必须使用私有的IP地址,并且各个节点的局域网的IP地址都应该安排在不同的子网内。
  • 使用Spoke and Hub功能时的IP地址规划
如前文所述,Spoke and Hub就是各分支机构利用×××设备与总部×××设备建立×××通道后,除了可以和总部进行通讯,还可以利用总部×××设备互相进行数据交换,而各×××分支机构之间不需要进行×××的隧道建立的一种×××功能应用,在用户需要使用Spoke and Hub功能的时候,IP地址的规划必须坚持以下原则:中心和分支机的内部网络都属于同一个A类/B类/C类网络的不同的子网。
3.本方案的IP规划
 
根据本方案的需求,应该按照Spoke and Hub IP地址规划的原则来执行,在本方案中,我们选择在Hub(中心机构)和SPOKE(分支机构)都使用192.168.0.0/16网络内的4个子网,具体如下表:
 
Nodes
Model
Lan ip address
Central(Hub)
FVX538/FVS338
192.168.1.0/24
Branch 1(Spoke)
FVS318V3
192.168.2.0/24
Branch 2(Spoke)
FVS114
192.168.3.0/24
Branch 3(Spoke)
FVS124G
192.168.4.0/24
top.gif TOP

二.认识NETGEAR产品的×××配置界面

本方案使用的FVX538/FVS124G ×××防火墙系列产品默认的管理IP地址都是 192.168.1.1/24。默认的管理帐号是:admin。密码是:password。
FVS318v3,FVS114 ×××防火墙系列产品默认的管理IP地址都是 192.168.0.1/24。默认的管理帐号是:admin。密码是:password。
以下以FVX538为例子,介绍如何登陆到×××设备进行管理。
 
  • 打开浏览器,在地址栏里面输入设备的管理地址
 
v10026_clip_p_w_picpath004.jpg
图2-1:FVX538的登录界面
  • 输入出厂默认的帐号和密码,即可登陆到×××设备的管理页面
v10026_clip_p_w_picpath006.jpg
图2-2:FVX538的管理页面
 
Netgear的×××防火墙的所有×××的相关配置都严格遵守RFC定义的IPSEC标准执行,在产品里的相关×××设置被分为IKE Policy 和××× Policy两个步骤,分别定义 RFC里面定义的IPSEC标准的×××通道建立的两个基本步骤的主要参数。也就是说,我们在配置×××策略的时候必须完成××× Policy和IKE Policy配置。下图以FVX538为例子加以说明
  • 认识FVX538的×××配置
v10026_clip_p_w_picpath008.jpg
图2-3:FVX538的×××配置策略
top.gifTOP

三.中心FVX538对应分支一的×××策略配置

1. FVX538到分支一FVS318v3的×××策略配置

因为FVX538及分支一的FVS318v3均使用固定的IP地址,所以在IKE策略里我们建议使用MAIN模式进行配置。
  • IKE策略的配置
进入`×××` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
 
v10026_clip_p_w_picpath010.jpg
v10026_clip_p_w_picpath012.jpg
 
图3-1:TOFVS318V3的IKE POLICY
  • ×××策略的配置
进入`×××` / `××× Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
 
v10026_clip_p_w_picpath014.jpg
v10026_clip_p_w_picpath016.jpg
图3-2:TOFVS318V3的××× POLICY
top.gifTOP

2. FVX538到分支二FVS114的×××策略配置

因为FVX538使用固定的IP地址及分支二的FVSvs114使用没有动态态域名的动态IP地址,所以在IKE策略里我们使用Aggressive模式进行配置,另外在IKE策略里的Direction/Type里应该选择Responder的模式,并且在××× POLICY的REMOTE IP ADDRESS栏目里填入FVS114的身份标识即可,这意味着只能从FVS114P那里主动建立×××连接。
  • IKE策略的配置
 
进入`×××` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
v10026_clip_p_w_picpath018.jpg
v10026_clip_p_w_picpath020.jpg
图3-3:TOFVS114的IKE POLICY
  • ×××策略的配置
进入`×××` / `××× Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
v10026_clip_p_w_picpath022.jpg
v10026_clip_p_w_picpath024.jpg
 
图3-4:TOFVS114的××× POLICY
top.gifTOP

3. FVX538到分支三FVS124G的×××策略配置

因为FVX538使用固定的IP地址及分支二的FVS124G使用动态域名的动态IP地址,所以在IKE策略里我们
使用Aggressive模式进行配置。该连接可以双向发起。
  • IKE策略的配置
进入`×××` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
 
v10026_clip_p_w_picpath026.jpg
v10026_clip_p_w_picpath028.jpg
图3-5:TOFVS124G的IKE POLICY
  • ×××策略的配置
进入`×××` / `××× Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
v10026_clip_p_w_picpath030.jpg

图3-6:TOFVS124G的××× POLICY
 
至此中心FVX538的配置已经完成,配置完成后,在FVX538的IKE策略和×××配置策略页面里,应该生成如下的配置信息:
  • FVX538的IKE POLICY
v10026_clip_p_w_picpath034.jpg
图3-7:FVS538 IKE POLICY
 
  • FVX538的××× POLICY
v10026_clip_p_w_picpath036.jpg
图3-8:FVS538 ××× POLICY
top.gifTOP

四.分支一FVS318v3 到FVX538的×××策略配置

因为FVX538及分支一的FVS318v3均使用固定的IP地址,所以在IKE策略里我们使用MAIN模式进行配置。
配置如下图:
  • IKE策略的配置
进入`×××` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
v10026_clip_p_w_picpath038.jpg
v10026_clip_p_w_picpath040.jpg
图4-1:FVS318V3的IKE POLICY
  • ×××策略的配置
进入`×××` / `××× Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
此处的 Local IP 应该是: 192.168.2.0 /255.255.255.0
此处的 Remote IP 应该是:192.168.0.0 / 255.255.255.0
v10026_clip_p_w_picpath042.jpg
v10026_clip_p_w_picpath044.jpg
图4-2:FVS318V3的××× POLICY

top.gifTOP

五.分支二FVS114 到FVX538的×××策略配置

因为FVX538使用固定的IP地址及分支二的FVS114使用没有动态域名的动态IP地址,所以在IKE策略里我们使用Aggressive模式进行配置,并且在IKE策略里的Direction/Type里应该选择Initiator的模式,这意味着只能从FVS114P那里主动建立×××连接。
  • IKE策略的配置
进入`×××` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
v10026_clip_p_w_picpath046.jpg
v10026_clip_p_w_picpath048.jpg
图5-1:FVS114的IKE POLICY
  • ×××策略的配置
进入`×××` / `××× Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
此处的 Local IP 应该是: 192.168.3.0 /255.255.255.0
此处的 Remote IP 应该是:192.168.0.0 / 255.255.255.0
v10026_clip_p_w_picpath050.jpg
v10026_clip_p_w_picpath052.jpg
图5-2:FVS114的××× POLICY
top.gifTOP

六.分支三FVS124G到FVX538的×××策略配置

因为FVX538使用固定的IP地址及分支二的FVS124g使用动态域名的动态IP地址,所以在IKE策略里我们使用Aggressive模式进行配置。该连接可以双向发起。
  • IKE策略的配置
进入`×××` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
v10026_clip_p_w_picpath054.jpg
v10026_clip_p_w_picpath056.jpg
6-1:Fvs124g的IKE POLICY
  • ×××策略的配置
进入`×××` / `××× Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
此处的 Local IP 应该是: 192.168.4.0 /255.255.255.0
此处的 Remote IP 应该是:192.168.0.0 / 255.255.255.0
v10026_clip_p_w_picpath058.jpg
v10026_clip_p_w_picpath060.jpg
图6-2:Fvs124g的××× POLICY
top.gifTOP

七.测试×××连接

  • 通过×××日志及××× 状态查看×××通道是否成功建立
所有的Netgear Prosafe ××× 防火墙产品都具有×××日志的查看功能,如
下图:
v10026_clip_p_w_picpath062.jpg
图7-1:××× STATUS例子
  • 通过PING命令查看×××的通道是否建立
1. 在每个分支分别PING中心局域网的主机,如果能够PING通,即表示从该分支到总部的×××通道已经建立。
2. 各个分支机构里面的主机能够互相PING通,即表示SPOKE-AND-HUB功能已经实现。
返回